近日，微軟365 Defender 研究團隊披露了在 mce Systems 提供的 Android Apps 移動服務框架中的嚴重安全漏洞，多個運營商的默認預裝應用受影響，其下載量已達數(shù)百萬次。

研究人員發(fā)現(xiàn)的漏洞被追蹤為CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601， CVSS評分在 7.0分-8.9分之間， 能夠讓用戶遭受命令注入和權限提升攻擊，受影響的運營商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。

研究人員發(fā)現(xiàn)該框架有一個“BROWSABLE”服務活動，可以遠程調(diào)用以利用多個漏洞，攻擊者可以利用這些漏洞來植入持久性后門或?qū)υO備進行實質(zhì)性控制。

這些帶有漏洞的應用程序嵌入在設備的系統(tǒng)映像中，表明它們是這些運營商提供的預裝軟件。如同現(xiàn)在大多數(shù) Android 設備附帶的許多預裝或默認應用程序一樣，如果沒有獲得設備的 root 訪問權限，一些受影響的應用程序就無法完全卸載或禁用。

在微軟公開披露這些漏洞之前，mce Systems 已修復問題并向受影響的提供商提供框架更新，但研究人員發(fā)現(xiàn)一些運營商仍在使用之前存在漏洞的框架版本，如果用戶安裝了包名為 com.mce.mceiotraceagent的應用，其設備也可能會受到試圖濫用這些漏洞的攻擊，建議用戶及時清除這些應用，并更新至最新的系統(tǒng)版本。