Microsoft findet kritische Bugs in vorinstallierten Apps auf Millionen von Android-Geräten

Vier schwerwiegende Sicherheitslücken wurden in einem Framework aufgedeckt, das von vorinstallierten Android-System-Apps mit Millionen von Downloads verwendet wird.

Die jetzt vom israelischen Entwickler MCE Systems behobenen Sicherheitslücken könnten es Angreifern ermöglichen, Remote- und lokale Attacken zu starten oder als Vektoren zu missbrauchen, um unter Ausnutzung ihrer umfangreichen Systemprivilegien an sensible Informationen zu gelangen.

"Wie bei vielen der vorinstallierten oder Standardanwendungen, mit denen die meisten Android-Geräte heutzutage ausgestattet sind, können einige der betroffenen Apps nicht vollständig deinstalliert oder deaktiviert werden, ohne dass man Root-Zugriff auf das Gerät erhält", so das Microsoft 365 Defender Research Team in einem am Freitag veröffentlichten Bericht.

Die Sicherheitslücken wurden im September 2021 entdeckt und gemeldet, und es gibt keine Hinweise darauf, dass diese aktiv ausgenutzt werden.

Microsoft gab keine vollständige Liste der Apps bekannt, die das besagte verwundbare Framework verwenden, das Selbstdiagnosemechanismen zur Erkennung und Behebung von Problemen auf einem Android-Gerät bieten soll.

Dies bedeutete auch, dass das Framework über weitreichende Zugriffsrechte verfügte, einschließlich derer für Audio, Kamera, Strom, Standort, Sensordaten und Speicher, um seine Funktionen auszuführen. In Verbindung mit den im Dienst identifizierten Problemen könnte dies laut Microsoft einem Angreifer ermöglichen, dauerhafte Backdoors zu implementieren und die Kontrolle zu übernehmen.

Einige der betroffenen Apps stammen von großen internationalen Mobilfunkanbietern wie Telus, AT&T, Rogers, Freedom Mobile und Bell Canada.

  • Device Help (com.att.dh)
  • Mobile Klinik Device Checkup (com.telus.checkup)
  • MyRogers (com.fivemobile.myaccount)
  • Freedom Device Care (com.freedom.mlp.uat), and
  • Device Content Transfer (com.ca.bell.contenttransfer)

Darüber hinaus empfiehlt Microsoft den Nutzern, nach dem App-Paket "com.mce.mceiotraceagent" Ausschau zu halten - eine App, die möglicherweise von Mobiltelefon-Reparaturwerkstätten installiert wurde - und sie von den Smartphones zu entfernen.

Die anfälligen Apps sind zwar von den Telefonanbietern vorinstalliert, stehen aber auch im Google Play Store zur Verfügung. Es heißt, dass sie die automatischen Sicherheitsprüfungen des App-Stores durchlaufen haben, ohne aufzufallen, da der Prozess nicht auf diese Probleme ausgelegt war, was inzwischen korrigiert wurde.