每日·简讯
近日,微软Defender研究团队披露了在mceSystems提供的AndroidApps移动服务框架中的严重安全漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。
研究人员发现的漏洞被追踪为CVE--、CVE--、CVE--和CVE--,CVSS评分在7.0分-8.9分之间,能够让用户遭受命令注入和权限提升攻击,受影响的运营商包括ATT、TELUS、RogersCommunications、BellCanada和FreedomMobile。
研究人员发现该框架有一个“BROWSABLE”服务活动,可以远程调用以利用多个漏洞,攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。
这些带有漏洞的应用程序嵌入在设备的系统映像中,表明它们是这些运营商提供的预装软件。如同现在大多数Android设备附带的许多预装或默认应用程序一样,如果没有获得设备的root访问权限,一些受影响的应用程序就无法完全卸载或禁用。
在微软公开披露这些漏洞之前,mceSystems已修复问题并向受影响的提供商提供框架更新,但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本,如果用户安装了包名为