Certaines vulnérabilités très graves ont récemment été découvertes dans un framework mobile qui sert les systèmes d'exploitation Android (ouvre dans un nouvel onglet), mettant en danger des millions de personnes.
L'équipe de recherche de Microsoft 365 Defender, qui a découvert les failles en septembre de l'année dernière, affirme qu'elles auraient pu être utilisées pour lancer de graves attaques sur des appareils ciblés, entraînant un vol de données et la prise de contrôle d'une partie de l'appareil.
Selon un nouveau billet de blog (ouvre dans un nouvel onglet), Microsoft « a découvert des vulnérabilités très graves (ouvre dans un nouvel onglet) dans un framework mobile appartenant à mce Systems et utilisé par plusieurs grands fournisseurs de services mobiles dans des applications système préinstallées. Appareils Android qui exposent potentiellement les utilisateurs à des attaques distantes (bien que complexes) ou locales.
Les vulnérabilités sont suivies comme CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 et CVE-2021-42601, avec des scores de gravité allant de 7,0 à 8,9 sur 10.
Premiers pas avec l'appareil
Détaillant davantage ses conclusions, Microsoft a déclaré que le cadre mobile inclut un service qui pourrait être exploité pour « permettre à des adversaires d'implanter une porte dérobée persistante ou d'acquérir un contrôle substantiel sur l'appareil ».
La société a informé mce Systems et les fournisseurs de services mobiles concernés (dont certains sont « internationaux ») et s'est associée à eux pour travailler sur une solution. Toutes les vulnérabilités ont désormais été corrigées, indique le blog.
"Nous avons travaillé en étroite collaboration avec les équipes d'ingénierie et de sécurité de mce Systems pour atténuer ces vulnérabilités", a déclaré Microsoft, "ce qui comprenait l'envoi urgent d'une mise à jour du cadre aux fournisseurs concernés et la publication de correctifs pour les problèmes. Au moment de la publication, il Aucun signe n’a été signalé indiquant que ces vulnérabilités étaient exploitées dans la nature. »
Google a également mis à jour son service Play Protect pour couvrir les vecteurs d'attaque.
Bien que Microsoft affirme qu'il n'y a aucune preuve que les failles soient exploitées à l'état sauvage, il a ajouté que d'autres fournisseurs non découverts pourraient être affectés par la faille, notamment « plusieurs ateliers de réparation de téléphones mobiles » qui pourraient avoir installé des applications vulnérables sur les appareils. utilisateurs (s'ouvre dans un nouvel onglet).