A equipe de pesquisa do Microsoft 365 Defender compartilhou detalhes de várias falhas de alta gravidade encontradas em uma estrutura móvel usada em aplicativos populares associados a vários grandes nomes. Na verdade, esses pesquisadores da Microsoft descobrem falhas de segurança em aplicativos importantes no Android.
A estrutura é de propriedade da mce Systems e é usada em aplicativos de vários provedores móveis. Os aplicativos – de empresas como AT&T, Rogers Communications e Bell Canada – geralmente são pré-instalados em aparelhos Android, mas também foram baixados milhões de vezes. Se exploradas, as vulnerabilidades permitem ataques locais ou remotos, incluindo injeção de comandos e ataques de escalação de privilégios.
Pesquisadores da Microsoft descobrem falhas de segurança em aplicativos importantes no Android
Revelando detalhes de suas descobertas, a equipe de pesquisa de segurança diz: “Juntos aos extensos privilégios de sistema que os aplicativos pré-instalados têm, essas vulnerabilidades podem ter sido vetores de ataque para os invasores acessarem a configuração do sistema e informações confidenciais”.
No decorrer de sua investigação, a equipe descobriu que a estrutura da mce Systems tinha uma atividade de serviço “BROWSABLE” que um invasor pode invocar remotamente para explorar várias vulnerabilidades que podem permitir que os adversários implantem um backdoor persistente ou assumam controle substancial sobre o dispositivo.
Os pesquisadores explicam:
A estrutura parecia ser projetada para oferecer mecanismos de autodiagnóstico para identificar e resolver problemas que afetam o dispositivo Android, indicando que suas permissões eram inerentemente amplas com acesso a recursos valiosos. Por exemplo, a estrutura foi autorizada a acessar recursos do sistema e executar tarefas relacionadas ao sistema, como ajustar os controles de áudio, câmera, energia e armazenamento do dispositivo.
Além disso, descobrimos que a estrutura estava sendo usada por aplicativos de sistema padrão para alavancar seus recursos de autodiagnóstico, demonstrando que os aplicativos afiliados também incluíam extensos privilégios de dispositivo que podiam ser explorados por meio da estrutura vulnerável.
De acordo com a mce Systems, algumas dessas vulnerabilidades também afetaram outros aplicativos em dispositivos Android e iOS. Além disso, a estrutura vulnerável e os aplicativos afiliados foram encontrados em dispositivos de grandes provedores de serviços móveis internacionais.
A mce Systems, que oferece “Mobile Device Lifecycle and Automation Technologies”, também permitiu que os provedores personalizassem e marcassem seus respectivos aplicativos e estruturas móveis. Estruturas pré-instaladas e aplicativos móveis, como o mce Systems, são benéficos para usuários e provedores em áreas como simplificar o processo de ativação do dispositivo, solucionar problemas do dispositivo e otimizar o desempenho.
No entanto, seu amplo controle sobre o dispositivo para fornecer esses tipos de serviços também pode torná-los um alvo atraente para invasores.
As vulnerabilidades, rastreadas como CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 e CVE-2021-42601, têm classificações de gravidade entre 7,0 e 8,9.
A Microsoft aponta que está trabalhando com a mce Systems, e as vulnerabilidades já foram corrigidas. Como tal, é importante garantir que as versões mais recentes estejam instaladas para evitar problemas de segurança.
Mais informações estão disponíveis na postagem do blog da Microsoft.
Via Betanews