近日，微軟365 Defender 研究團隊披露了在 mce Systems 提供的 Android Apps 移動服務框架中的嚴重安全漏洞，多個運營商的默認預裝應用受影響，其下載量已達數百萬次。

研究人員發現的漏洞被追蹤為CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601， CVSS評分在 7.0分-8.9分之間， 能夠讓用戶遭受命令注入和權限提升攻擊，受影響的運營商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。

研究人員發現該框架有一個“BROWSABLE”服務活動，可以遠程調用以利用多個漏洞，攻擊者可以利用這些漏洞來植入持久性后門或對設備進行實質性控制。

這些帶有漏洞的應用程序嵌入在設備的系統映像中，表明它們是這些運營商提供的預裝軟件。如同現在大多數 Android 設備附帶的許多預裝或默認應用程序一樣，如果沒有獲得設備的 root 訪問權限，一些受影響的應用程序就無法完全卸載或禁用。

在微軟公開披露這些漏洞之前，mce Systems 已修復問題并向受影響的提供商提供框架更新，但研究人員發現一些運營商仍在使用之前存在漏洞的框架版本，如果用戶安裝了包名為 com.mce.mceiotraceagent的應用，其設備也可能會受到試圖濫用這些漏洞的攻擊，建議用戶及時清除這些應用，并更新至最新的系統版本。