圖片來源: 

Gilles Lambert on unsplash

微軟上周揭露了涉及mce Systems行動框架的多個嚴重安全漏洞,相關漏洞將允許駭客存取系統配置與機密資訊,有鑑於許多行動服務供應商於手機上內建的程式都採用了該框架,估計影響眾多Android用戶。不過,包括mce Systems與程式開發者都已修補了漏洞。

mce Systems主要提供裝置生命周期管理解決方案,可透過自我診斷機制來辨識及解決影響Android裝置的問題,也具備廣泛的權限,例如它能存取系統資源並執行與系統相關的任務,包括調整裝置的聲音、攝影機、電源或儲存控制等,亦允許行動服務供應商客製化其應用程式與框架。

微軟則發現,許多採用mce Systems的行動程式被嵌入裝置的系統映像檔,意謂著它們是手機製造商或行動服務供應商所開發的內建程式,雖然這些程式同樣也出現在Google Play上,必須經歷Google Play Protect的安全檢查,但先前Google Play Protect並未掃描微軟所發現的問題。

微軟在去年9月發現的漏洞包括CVE-2021-42598、CVE-2021-42599、CVE-2021-42600與CVE-2021-42601,它們的CVSS風險評分介於7.0至8.9之間,其中,CVE-2021-42599為一存在於裝置服務中的命令注射漏洞,可讓駭客干預裝置服務,CVE-2021-42601則是本地端權限擴張漏洞。成功開採這些漏洞將允許駭客於裝置上植入後門,或是取得裝置的控制權。

上述漏洞波及了由 AT&T、TELUS、Rogers Communications、Bell Canada與Freedom Mobile等電信業者以mce Systems框架所開發的程式,而這些程式多半為工具程式,例如TELUS的Mobile Klinik Device Checkup主要是用來檢查與修復裝置問題,Bell Canada的Device Content Transfer則是專為Bell零售店設計,可無線傳輸通訊錄、行事曆或照片/影片到另一裝置,AT&T的Device Help也是屬於裝置管理工具。

不僅是行動服務商所打造的程式,相關漏洞也影響了其它採用mce Systems框架的程式,涵蓋Android與iOS程式。

目前mce Systems與電信業者都修補了漏洞,Google Play Protect亦已可偵測這類型的安全漏洞,且迄今微軟並未發現駭客開採相關漏洞的跡象。

熱門新聞

Advertisement