Microsoft ha scoperto quattro gravi vulnerabilità in un framework di mce Systems utilizzato da diversi operatori telefonici nelle app preinstallate sui dispositivi Android. Grazie ai privilegi elevati delle app sarebbe possibile eseguire codice remoto e rubare informazioni sensibili. Tutti i bug sono stati risolti dalle parti interessate. Il problema evidenzia ancora una volta la necessità di usare una soluzione di sicurezza che blocca eventuali malware.
Poca sicurezza nelle app preinstallate
Gli esperti di Microsoft hanno scoperto che il framework di mce Systems ha un servizio che potrebbe essere invocato per sfruttare le vulnerabilità, consentendo l’installazione di backdoor e di prendere il controllo del dispositivo. Il framework viene utilizzato nelle app preinstallate come tool di diagnostica per identificare eventuali problemi, quindi può accedere a varie risorse, tra cui audio, fotocamera e storage.
Alcune delle suddette app, distribuite anche tramite Google Play Store, sono state sviluppate da AT&T, Telus, Rogers Communications, Bell Canada e Freedom Mobile. Essendo app preinstallate e quindi parte dell’immagine del sistema operativo, gli utenti non possono eliminarle senza i permessi di root. Purtroppo questo tipo di bug non viene rilevato dalla tecnologia Google Play Protect. Le quattro vulnerabilità sono indicate con CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 e CVE-2021-42601.
Tutte le app esaminate (Microsoft non ha fornito i lori nomi) eseguono attività “browsable” che possono essere sfruttate per visualizzare pagine web infette. Attraverso una backdoor sarebbe possibile accedere a microfono, fotocamera, storage, connettività, posizione geografica, sensori, impostazioni, app installate, numero di telefono e contatti.
L’azienda di Redmond ha segnalato la presenza delle vulnerabilità a mce Systems che ha provveduto a rilasciare le patch in collaborazione con gli operatori telefonici interessati.