[English]Das Microsoft 365 Defender Research Team hat in einem mobilen Framework von mce Systems einige Schwachstellen gefunden. Das Problem: Dieses Framework wird von einigen Apps, die Mobilfunkprovider auf ihren Smartphone vorinstalliert ausliefern, verwendet. So waren Millionen Nutzer über diese Apps angreifbar. Auch wenn Microsoft nur US-Mobilfunkprovider untersucht hat und diese die Apps inzwischen aktualisiert haben, zeigt der Vorfall erneut, wie wackelig das ganze App-Modell durch die Verwendung diverser Frameworks im Grunde ist.
Anzeige
Das Ganze ist bereits vor einigen Tagen in diesem Blog-Beitrag veröffentlicht worden – ich bin kürzlich über Twitter auf das Thema gestoßen. Der nachfolgende Tweet weist auf den entdeckten Sachverhalt hin.
Bekannt ist, dass Mobilfunkanbieter auf Geräten gerne Apps installieren, die dann vom Benutzer (ohne root-Zugriff) nicht vollständig deinstalliert werden – das Bloatware-Projekt ist lange bekannt – ich hatte 2015 im Artikel Android-Geräte und die Bloatware … darüber gerantet. Und ein Jahr vorher hatte ich den Artikel Bloatware auf Smartphones muss deinstallierbar sein im Blog. Hintergrund war, dass in Süd-Korea Richtlinien herausgegeben wurden, nach denen Smartphone-Hersteller dem Benutzer das Deinstallieren nicht benutzter Apps ermöglichen müssen. Getan hat sich seither nicht sonderlich viel.
Microsoft schaut genauer hin
Das Microsoft 365 Defender Research Team hat sich daher Android-Geräte von US-Mobilfunkprovidern (AT&T, TELUS, Rogers Communications, Bell Canada, und Freedom Mobile) drauf hin angesehen, ob die vorinstallierten Apps Sicherheitslücken aufweisen. Dabei sind die Sicherheitsforscher in einem mobilen Framework von mce Systems, das von mehreren großen Mobilfunkanbietern in vorinstallierten Android-System-Apps verwendet wird, fündig geworden.
Anzeige
Hintergrund: Das Framework schien darauf ausgelegt zu sein, Selbstdiagnosemechanismen zur Identifizierung und Behebung von Problemen im Android-Gerät bereitzustellen. Das bedeutet, dass den Apps entsprechende Berechtigungen zum Zugriff auf wertvolle Ressourcen gewährt wurden. So war das Framework beispielsweise berechtigt, auf Systemressourcen zuzugreifen und systembezogene Aufgaben auszuführen, wie z. B. die Einstellung der Audio-, Kamera-, Energie- und Speichersteuerung des Geräts. Darüber hinaus stellten die Sicherheitsforscher fest, dass das Framework von Standard-Systemanwendungen verwendet wurde, um seine Selbstdiagnosefähigkeiten zu nutzen. Das zeigte, dass die zugehörigen Anwendungen ebenfalls über umfangreiche Geräteberechtigungen verfügten, die über ein eventuell verwundbares Framework ausgenutzt werden könnten.
Bei der Analyse wurden mehrere hochgefährliche Schwachstellen CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 und CVE-2021-42601 entdeckt (verantwortlich ist wohl eine "BROWSABLE"-Dienstaktivität), durch die Benutzer potenziell für (wenn auch komplexe) Remote- oder lokale Angriffe anfällig sind. In Verbindung mit den weitreichenden Systemprivilegien, über die vorinstallierte Apps verfügen, hätten diese Schwachstellen Angreifern den Zugriff auf die Systemkonfiguration und sensible Informationen ermöglichen können.
Die Details lassen sich im Microsoft Blog-Beitrag Android apps with millions of downloads exposed to high-severity vulnerabilities nachlesen. Die entdeckten Schwachstellen sind mit einem Common Vulnerability Scoring System (CVSS) score zwischen 7.0 und 8.9 eingestuft worden. Nachdem Microsoft den Entwickler des Framework im Herbst 2021 informierte, wurden die Schwachstellen, die Apps mit Millionen von Downloads betrafen, von allen beteiligten Parteien behoben.
Anzeige
Sowas wäre für Deutschland auch sehr interessant.
Die sollten mal lieber ihre eigenen Schwachstellen fixen
Ist es nicht der hauptsächliche Sinn von solchen Frameworks von "Drittanbietern", unauffällig entspr. Hintertüren einfach und grossflächig verteilen zu können?
Wer sich selbst Gedanken machen will:
mce.systems/customers/
mce.systems/partners/
mce.systems/locations/
Zustimmung! Würde mich nicht wundern, wenn sich hier eine Wiederholung des Falles NSO /1/ anbahnte.
/1/
Einstiger Cyber-Pionier am Abgrund? NSO wird zur Belastung für Israel
01.01.2022
http://www.handelsblatt.com/politik/international/spionage-via-handy-einstiger-cyber-pionier-am-abgrund-nso-wird-zur-belastung-fuer-israel/27903344.html
Just eine Umfrage meines Mobilfunkanbieters ausgefüllt, darunter war auch eine Frage, ob man lieber Webseiten oder Apps zum Kontakt verwenden würde – und die Folgefrage warum ich "Webseite" angeklickt habe… nicht wortwörtlich, aber sinngemäß habe ich gesagt, ich will keine verwanzte App, wenn es doch Webseiten gäbe. Und da hatte ich diesen Artikel noch nicht gelesen….