微软上周披露了涉及mce systems行动框架的多个严重安全漏洞,相关漏洞将允许黑客访问系统配置与机密资讯,有鉴于许多移动服务供应商于手机上内置的程序都采用了该框架,估计影响众多android用户。不过,包括mce systems与程序开发者都已修补了漏洞。
mce systems主要提供设备生命周期管理金沙软件免费下载的解决方案,可通过自我诊断机制来识别及解决影响android设备的问题,也具备广泛的权限,例如它能访问系统资源并执行与系统相关的任务,包括调整设备的声音、摄影机、电源或存储控制等,也允许移动服务供应商定制化其应用程序与框架。
微软则发现,许多采用mce systems的移动程序被嵌入设备的系统镜像文件,意味着它们是手机制造商或移动服务供应商所开发的内置程序,虽然这些程序同样也出现在google play上,必须经历google play protect的安全检查,但先前google play protect并未扫描微软所发现的问题。
微软在去年9月发现的漏洞包括cve-2021-42598、cve-2021-42599、cve-2021-42600与cve-2021-42601,它们的cvss风险评分介于7.0至8.9之间,其中,cve-2021-42599为一存在于设备服务中的命令注射漏洞,可让黑客干预设备服务,cve-2021-42601则是本地端权限扩张漏洞。成功开采这些漏洞将允许黑客于设备上植入后门,或是取得设备的控制权。
上述漏洞波及了由at&t、telus、rogers communications、bell canada与freedom mobile等电信企业以mce systems框架所开发的程序,而这些程序多半为工具程序,例如telus的mobile klinik device checkup主要是用来检查与修复设备问题,bell canada的device content transfer则是专为bell零售店设计,可无线传输通讯录、行程表或照片/视频到另一设备,at&t的device help也是属于设备管理工具。
不仅是移动服务商所打造的程序,相关漏洞也影响了其它采用mce systems框架的程序,涵盖android与ios程序。
目前mce systems与电信企业都修补了漏洞,google play protect也已可侦测这类型的安全漏洞,且迄今微软并未发现黑客开采相关漏洞的迹象。