微软在 Android 设备上的预装 APP 中发现高危漏洞!下载量已达数百万

简介: 微软在 Android 设备上的预装 APP 中发现高危漏洞!下载量已达数百万

近日,微软研究团队在以色列软件开发商 MCE Systems 预装 Android 系统应用程序的一个框架中发现了 4 个高危漏洞。令人担忧的是,目前这批 APPs 在 Google Play 官方应用商店的下载量已达数百万。

image.png

上周五,微软 365 Defender 研究团队在发布的一份报告中表示:“由于目前大多数 Android 设备都附带了许多预安装或默认应用程序,因此,如果没有获得设备的 root 访问权限,一些受影响的应用程序无法完全卸载或禁用。”

据悉,这些相关漏洞现可能会允许威胁行为人发动远程和本地攻击,或被滥用为载体,利用其广泛的系统特权获取敏感信息。

Android Apps 上的高危漏洞:或对网络空间安全造成威胁

据报道,此次发现的这组漏洞涉及命令注入、本地权限提升等方面,且都已被分配了标识符: CVE-2021-42598、CVE-2021-42599、CVE-2021-42600 和 CVE-2021-42601,且 CVSS 得分介于 7.0 和 8.9 之间。

(“CVSS:通用漏洞评分系统,一个行业公开标准,被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。提供了一种捕获漏洞主要特征并产生反映其严重性的数字评分的方法”)

image.png

(命令注入概念验证(POC)攻击代码)

image.png

(向 WebView 注入类似的 JavaScript 代码)

这些漏洞里有些最早是在 2021 年 9 月份就被发现并报告的,暂没有证据表明这些缺陷正被利用。

此次,由于微软并没有披露使用该漏洞框架的应用程序的完整列表(该框架旨在提供自我诊断机制,以识别和修复影响 Android 设备的问题),所以该框架拥有广泛的访问权限(包括音频、摄像头、电源、位置、传感器数据和存储权限,以执行其功能)。

再加上此次该服务中发现的漏洞,因此微软表示,它可能允许攻击者植入持久后门并接管控制权。

目前,已经受到该批漏洞影响的客户包括 Telus、AT&T、Rogers、Freedom mobile 和 Bell Canada 等这些大型国际移动服务提供商:

移动 Klinik 设备检查(com.telus.Checkup)

设备帮助(com.att.dh)

MyRogers(com.fivemobile.myaccount)

Freedom 设备维护(com.Freedom.mlp.uat),

Device Content Transfer(com.ca.bell.contenttransfer)

image.png

这些易受影响的隐患 Android Apps 虽然是由手机供应商预装的,但也可以在谷歌 Play 商店上找到。

糟糕的是,一些受影响的 Android Apps 已经“逃”过了谷歌 Play 应用商店的自动安全检查,且在未获得设备 root 访问权限的情况下无法被彻底卸载或禁用。

尽管在微软发布此次安全漏洞报告之前, MCE Systems 已经将相关漏洞进行了修复,但提供终端设备的一些电信企业及移动服务提供商们,暂未能对使用了同一服务框架的 Android 应用程序做修复。


因此,微软研究人员建议设备上已经安装了相关 Android Apps 的用户请立即删除,并下载最新的系统安全补丁。

此外,微软还建议用户留意应用程序包“com.mce.mceiotraceagent”,这是一个可能由手机维修店安装的应用程序,一旦发现,请立即将其从手机中删除。

参考链接:https://thehackernews.com/202...

相关文章
|
JavaScript 前端开发 Android开发
【03】仿站技术之python技术,看完学会再也不用去购买收费工具了-修改整体页面做好安卓下载发给客户-并且开始提交网站公安备案-作为APP下载落地页文娱产品一定要备案-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-优雅草卓伊凡
【03】仿站技术之python技术,看完学会再也不用去购买收费工具了-修改整体页面做好安卓下载发给客户-并且开始提交网站公安备案-作为APP下载落地页文娱产品一定要备案-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-优雅草卓伊凡
625 13
【03】仿站技术之python技术,看完学会再也不用去购买收费工具了-修改整体页面做好安卓下载发给客户-并且开始提交网站公安备案-作为APP下载落地页文娱产品一定要备案-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-优雅草卓伊凡
|
Android开发 数据安全/隐私保护 开发者
Android自定义view之模仿登录界面文本输入框(华为云APP)
本文介绍了一款自定义输入框的实现,包含静态效果、hint值浮动动画及功能扩展。通过组合多个控件完成界面布局,使用TranslateAnimation与AlphaAnimation实现hint文字上下浮动效果,支持密码加密解密显示、去除键盘回车空格输入、光标定位等功能。代码基于Android平台,提供完整源码与attrs配置,方便复用与定制。希望对开发者有所帮助。
272 0
|
12月前
|
存储 Android开发 数据安全/隐私保护
Thanox安卓系统增加工具下载,管理、阻止、限制后台每个APP运行情况
Thanox是一款Android系统管理工具,专注于权限、后台启动及运行管理。支持应用冻结、系统优化、UI自定义和模块管理,基于Xposed框架开发,安全可靠且开源免费,兼容Android 6.0及以上版本。
1373 4
|
数据采集 JSON 网络安全
移动端数据抓取:Android App的TLS流量解密方案
本文介绍了一种通过TLS流量解密技术抓取知乎App热榜数据的方法。利用Charles Proxy解密HTTPS流量,分析App与服务器通信内容;结合Python Requests库模拟请求,配置特定请求头以绕过反爬机制。同时使用代理IP隐藏真实IP地址,确保抓取稳定。最终成功提取热榜标题、内容简介、链接等信息,为分析热点话题和用户趋势提供数据支持。此方法也可应用于其他Android App的数据采集,但需注意选择可靠的代理服务。
653 11
移动端数据抓取:Android App的TLS流量解密方案
|
JavaScript 搜索推荐 Android开发
【01】仿站技术之python技术,看完学会再也不用去购买收费工具了-用python扒一个app下载落地页-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-客户的麻将软件需要下载落地页并且要做搜索引擎推广-本文用python语言快速开发爬取落地页下载-优雅草卓伊凡
【01】仿站技术之python技术,看完学会再也不用去购买收费工具了-用python扒一个app下载落地页-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-客户的麻将软件需要下载落地页并且要做搜索引擎推广-本文用python语言快速开发爬取落地页下载-优雅草卓伊凡
666 8
【01】仿站技术之python技术,看完学会再也不用去购买收费工具了-用python扒一个app下载落地页-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-客户的麻将软件需要下载落地页并且要做搜索引擎推广-本文用python语言快速开发爬取落地页下载-优雅草卓伊凡
|
数据采集 JavaScript Android开发
【02】仿站技术之python技术,看完学会再也不用去购买收费工具了-本次找了小影-感觉页面很好看-本次是爬取vue需要用到Puppeteer库用node.js扒一个app下载落地页-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-优雅草卓伊凡
【02】仿站技术之python技术,看完学会再也不用去购买收费工具了-本次找了小影-感觉页面很好看-本次是爬取vue需要用到Puppeteer库用node.js扒一个app下载落地页-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-优雅草卓伊凡
700 7
【02】仿站技术之python技术,看完学会再也不用去购买收费工具了-本次找了小影-感觉页面很好看-本次是爬取vue需要用到Puppeteer库用node.js扒一个app下载落地页-包括安卓android下载(简单)-ios苹果plist下载(稍微麻烦一丢丢)-优雅草卓伊凡
|
缓存 开发工具 Android开发
Android App性能评测分析-启动时间篇
1、前言 随着项目版本的迭代,App的性能问题会逐渐暴露出来,而好的用户体验与性能表现紧密相关,性能问题从应用的启动优化开始,下面会根据实际app性能测试案例,进行app性能评测之启动时间的分析和总结。
4865 0
|
Shell Linux 测试技术
Android App性能评测分析-cpu占用篇
1、前言 很多时候在使用APP的时候,手机可能会发热发烫。这是因为CPU使用率过高,CPU过于繁忙,会使整个手机无法响应用户,整体性能降低,用户体验就会很差,也容易引起ANR等等一系列问题。
6403 0
|
Java 测试技术 程序员
Android App性能评测分析-内存篇
1、内存了解 在Android App的性能优化的各个部分里,内存方面的知识较多且不易理解,内存的问题绝对是最令人头疼的一部分,需要对内存基础知识、内存分配、内存管理机制等非常熟悉,才能排查问题。
2919 0
|
缓存 网络协议 测试技术
Android App性能评测分析-网络流量篇
1、 前言 移动互联网发展到现在,虽然用户的联网方式已经完成了3G/4G网络依赖到Wifi依赖的转变,但是过多以及没有经过处理的网络请求,会消耗用户的网络流量,造成用户流量费用(金钱)的损失,高流量的消耗必然导致非WIFI场景用户的流失,流量测试在性能评测中势必会占较大的权重。
4130 0