Vier schwerwiegende Sicherheitslücken wurden in einem Framework aufgedeckt, das von vorinstallierten Android-System-Apps mit Millionen von Downloads verwendet wird.
Die Schwachstellen, die jetzt vom israelischen Entwickler MCE Systems behoben wurden, könnten es Bedrohungsakteuren ermöglichen, Angriffe aus der Ferne oder lokal durchzuführen oder als Vektoren zu missbrauchen, um an sensible Informationen zu gelangen, indem sie ihre umfangreichen Systemprivilegien ausnutzen.
„Wie bei vielen vorinstallierten oder Standardanwendungen, mit denen die meisten Android-Geräte heutzutage ausgestattet sind, können einige der betroffenen Apps nicht vollständig deinstalliert oder deaktiviert werden, ohne dass man Root-Zugriff auf das Gerät erhält“, so das Microsoft 365 Defender Research Team in einem am Freitag veröffentlichten Bericht.
Die Schwachstellen, die von der Befehlsinjektion bis hin zur lokalen Privilegienerweiterung reichen, wurden mit den Kennungen CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 und CVE-2021-42601 versehen und haben CVSS-Scores zwischen 7,0 und 8,9.
Command Injection Proof-of-Concept (POC) Exploit Code
Einschleusen eines ähnlichen JavaScript-Codes in die WebView
Die Schwachstellen wurden im September 2021 entdeckt und gemeldet. Es gibt keine Hinweise darauf, dass die Schwachstellen in freier Wildbahn ausgenutzt werden.
Microsoft hat keine vollständige Liste der Apps veröffentlicht, die das fragliche Framework nutzen, das Selbstdiagnosemechanismen zur Erkennung und Behebung von Problemen auf einem Android-Gerät bietet.
Das bedeutete auch, dass das Framework über weitreichende Zugriffsrechte verfügte, einschließlich derer für Audio, Kamera, Strom, Standort, Sensordaten und Speicher, um seine Funktionen auszuführen. In Verbindung mit den im Dienst festgestellten Problemen könnte es einem Angreifer laut Microsoft möglich sein, dauerhafte Hintertüren einzubauen und die Kontrolle zu übernehmen.
Einige der betroffenen Apps stammen von großen internationalen Mobilfunkanbietern wie Telus, AT&T, Rogers, Freedom Mobile und Bell Canada.
Darüber hinaus empfiehlt Microsoft den Nutzern, nach dem App-Paket „com.mce.mceiotraceagent“ Ausschau zu halten – eine App, die möglicherweise von Handy-Reparaturwerkstätten installiert wurde – und sie von den Telefonen zu entfernen, falls sie gefunden wird.
Die anfälligen Apps sind zwar von den Telefonanbietern vorinstalliert, stehen aber auch im Google Play Store zur Verfügung. Es heißt, dass sie die automatischen Sicherheitsprüfungen des App-Stores durchlaufen haben, ohne dass es zu Beanstandungen gekommen ist, weil der Prozess nicht auf diese Probleme ausgelegt war, was inzwischen korrigiert wurde.