Especialistas da Microsoft encontraram vulnerabilidades em aplicativos Android pré-instalados

Especialistas da Microsoft encontraram quatro vulnerabilidades graves em aplicativos Android pré-instalados, nomeadamente na estrutura utilizada pelas aplicações Android de vários dos principais fornecedores internacionais de serviços móveis.

Vulnerabilidades foram descobertas na plataforma de MC Sistemas, uma empresa israelense que fornece software para operadoras móveis.

Deixe-me lembrá-lo de que também escrevemos isso Sobre 8% de aplicativos no Loja de aplicativos do Google são vulneráveis ​​a um bug no Jogar Núcleo biblioteca, e também isso Google recruta uma equipe de especialistas para encontrar bugs em aplicativos Android.

Problemas de pontuação entre 7 e 8.9 na escala de classificação de vulnerabilidade do CVSS varia de injeção de comando até escalonamento de privilégio local. Eles receberam os identificadores CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 e CVE-2021-42601.

Aplicativos vulneráveis ​​supostamente têm milhões de downloads na Google Play Store e são pré-instalados como aplicativos do sistema em muitos dispositivos. Microsoft não divulga a lista completa de aplicativos que utilizam a plataforma vulnerável, mas escreve que tais aplicativos podem ser encontrados em dispositivos adquiridos de operadoras como AT&T, TELUS, Rogers Comunicações, Sino Canadá e Liberdade Móvel.

Todos os fornecedores da Microsoft atualizaram seus aplicativos para corrigir bugs antes da publicação do boletim de segurança, mas outros aplicativos de telecomunicações podem estar usando a mesma estrutura problemática.

Além disso, os pesquisadores alertam que outros dispositivos Android também podem ser atacados por essas vulnerabilidades se o aplicativo com.mce.mceiotraceagent, por exemplo, está instalado em uma oficina de conserto de telefones. Qualquer pessoa que encontrar tal aplicativo em seu dispositivo é aconselhada a removê-lo imediatamente.