Microsoft findet Schwachstellen in Apps großer Mobilfunkprovider (Mai 2022)

[English]Das Microsoft 365 Defender Research Team hat in einem mobilen Framework von mce Systems einige Schwachstellen gefunden. Das Problem: Dieses Framework wird von einigen Apps, die Mobilfunkprovider auf ihren Smartphone vorinstalliert ausliefern, verwendet. So waren Millionen Nutzer über diese Apps angreifbar. Auch wenn Microsoft nur US-Mobilfunkprovider untersucht hat und diese die Apps inzwischen aktualisiert haben, zeigt der Vorfall erneut, wie wackelig das ganze App-Modell durch die Verwendung diverser Frameworks im Grunde ist.


Anzeige

Das Ganze ist bereits vor einigen Tagen in diesem Blog-Beitrag veröffentlicht worden – ich bin kürzlich über Twitter auf das Thema gestoßen. Der nachfolgende Tweet weist auf den entdeckten Sachverhalt hin.

Vulnerabilities in Android Apps by mce framework

Bekannt ist, dass Mobilfunkanbieter auf Geräten gerne Apps installieren, die dann vom Benutzer (ohne root-Zugriff) nicht vollständig deinstalliert werden – das Bloatware-Projekt ist lange bekannt – ich hatte 2015 im Artikel Android-Geräte und die Bloatware … darüber gerantet. Und ein Jahr vorher hatte ich den Artikel Bloatware auf Smartphones muss deinstallierbar sein im Blog. Hintergrund war, dass in Süd-Korea Richtlinien herausgegeben wurden, nach denen Smartphone-Hersteller dem Benutzer das Deinstallieren nicht benutzter Apps ermöglichen müssen. Getan hat sich seither nicht sonderlich viel.

Microsoft schaut genauer hin

Das Microsoft 365 Defender Research Team hat sich daher Android-Geräte von US-Mobilfunkprovidern (AT&T, TELUS, Rogers Communications, Bell Canada, und Freedom Mobile) drauf hin angesehen, ob die vorinstallierten Apps Sicherheitslücken aufweisen. Dabei sind die Sicherheitsforscher in einem mobilen Framework von mce Systems, das von mehreren großen Mobilfunkanbietern in vorinstallierten Android-System-Apps verwendet wird, fündig geworden.


Anzeige

Hintergrund: Das Framework schien darauf ausgelegt zu sein, Selbstdiagnosemechanismen zur Identifizierung und Behebung von Problemen im Android-Gerät bereitzustellen. Das bedeutet, dass den Apps entsprechende Berechtigungen zum Zugriff auf wertvolle Ressourcen gewährt wurden. So war das Framework beispielsweise berechtigt, auf Systemressourcen zuzugreifen und systembezogene Aufgaben auszuführen, wie z. B. die Einstellung der Audio-, Kamera-, Energie- und Speichersteuerung des Geräts. Darüber hinaus stellten die Sicherheitsforscher fest, dass das Framework von Standard-Systemanwendungen verwendet wurde, um seine Selbstdiagnosefähigkeiten zu nutzen. Das zeigte, dass die zugehörigen Anwendungen ebenfalls über umfangreiche Geräteberechtigungen verfügten, die über ein eventuell verwundbares Framework ausgenutzt werden könnten.

Bei der Analyse wurden mehrere hochgefährliche Schwachstellen CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 und CVE-2021-42601 entdeckt (verantwortlich ist wohl eine "BROWSABLE"-Dienstaktivität), durch die Benutzer potenziell für (wenn auch komplexe) Remote- oder lokale Angriffe anfällig sind. In Verbindung mit den weitreichenden Systemprivilegien, über die vorinstallierte Apps verfügen, hätten diese Schwachstellen Angreifern den Zugriff auf die Systemkonfiguration und sensible Informationen ermöglichen können.

Die Details lassen sich im Microsoft Blog-Beitrag Android apps with millions of downloads exposed to high-severity vulnerabilities nachlesen. Die entdeckten Schwachstellen sind mit einem Common Vulnerability Scoring System (CVSS) score zwischen 7.0 und 8.9 eingestuft worden. Nachdem Microsoft den Entwickler des Framework im Herbst 2021 informierte, wurden die Schwachstellen, die Apps mit Millionen von Downloads betrafen, von allen beteiligten Parteien behoben.


Anzeige

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Microsoft findet Schwachstellen in Apps großer Mobilfunkprovider (Mai 2022)

  1. Herr IngoW sagt:

    Sowas wäre für Deutschland auch sehr interessant.

  2. Hubert sagt:

    Die sollten mal lieber ihre eigenen Schwachstellen fixen

  3. Kevin sagt:

    Ist es nicht der hauptsächliche Sinn von solchen Frameworks von "Drittanbietern", unauffällig entspr. Hintertüren einfach und grossflächig verteilen zu können?

    Wer sich selbst Gedanken machen will:

    mce.systems/customers/
    mce.systems/partners/
    mce.systems/locations/

  4. chw9999 sagt:

    Just eine Umfrage meines Mobilfunkanbieters ausgefüllt, darunter war auch eine Frage, ob man lieber Webseiten oder Apps zum Kontakt verwenden würde – und die Folgefrage warum ich "Webseite" angeklickt habe… nicht wortwörtlich, aber sinngemäß habe ich gesagt, ich will keine verwanzte App, wenn es doch Webseiten gäbe. Und da hatte ich diesen Artikel noch nicht gelesen….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.