Saltar al contenido

Microsoft detalha vulnerabilidades graves em aplicativos Android pré-instalados

microsoft details severe vulnerabilities in pre installed an 4k6g.1200

A Microsoft tornou pública uma série de vulnerabilidades em uma estrutura móvel usada em aplicativos Android “com milhões de downloads” que podem ter exposto seus usuários a ataques.

A empresa Ele diz “Descobertas vulnerabilidades de alta gravidade em uma estrutura móvel de propriedade da mce Systems e usada por vários grandes provedores de serviços móveis em aplicativos de sistema Android pré-instalados que potencialmente expuseram os usuários a ataques remotos (embora complexos) ou locais”.

As vulnerabilidades foram identificadas como CVE-2021-42598, CVE-2021-42599, CVE-2021-42600S CVE-2021-42601; A Microsoft diz que as falhas receberam pontuações do Common Vulnerability Scoring System (CVSS) entre 7,0 e 8,9 de 10.

A empresa diz que a estrutura móvel da mce Systems inclui um serviço que um invasor “pode ​​invocar remotamente para explorar várias vulnerabilidades que podem permitir que os adversários implantem um backdoor persistente ou assumam controle substancial sobre o dispositivo”.

A Microsoft diz que descobriu as falhas de segurança em setembro de 2021. Em seguida, informou a mce Systems e os “provedores de serviços móveis afetados” sobre as vulnerabilidades e colaborou com essas empresas para mitigar os problemas para que os hackers não pudessem explorar as vulnerabilidades.

“Trabalhamos de perto com as equipes de segurança e engenharia da mce Systems para mitigar essas vulnerabilidades”, diz a Microsoft, “que incluía a mce Systems enviando uma atualização urgente da estrutura para os fornecedores afetados e publicando correções para os problemas. No momento da publicação, não havia relataram sinais de que essas vulnerabilidades estão sendo exploradas em estado selvagem.”

A empresa também informou o Google sobre essas falhas de segurança. O Google supostamente respondeu atualizando Proteção do Google Playque o Google diz que os usuários do Android podem usar para “ajudar a manter seus aplicativos seguros e seus dados privados”, para detectar vulnerabilidades dessa natureza.

Mas a extensão total dessas vulnerabilidades é desconhecida. A Microsoft diz que “pode ​​haver fornecedores adicionais ainda não descobertos que podem ser afetados” por essas falhas, observando que “várias oficinas de reparo de telefones celulares” podem ter instalado um aplicativo vulnerável nos dispositivos dos clientes. Os usuários do Android foram aconselhados a encontrar esse aplicativo e removê-lo de seus telefones.

Mais informações sobre as vulnerabilidades, incluindo qual parte da estrutura móvel da mce Systems foi afetada, como elas podem ter sido exploradas e muito mais, estão disponíveis no relatório da Microsoft.

 

Etiquetas:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *