数百万ダウンロードされたAndroid向けアプリに影響する深刻度の高い脆弱性の存在が明らかに

複数の通信キャリアが端末にプリインストールしているAndroidシステムアプリで使用されるモバイルフレームワークに、ユーザーがリモート攻撃・ローカル攻撃にさらされる可能性のある深刻な脆弱(ぜいじゃく)性が存在していたことを、Microsoftが明らかにしました。アプリはGoogle PlayからもDL可能なものでDL数は数百万にも上るとのことですが、すでに脆弱性は修正されています。

Android apps with millions of downloads exposed to high-severity vulnerabilities - Microsoft Security Blog
https://www.microsoft.com/security/blog/2022/05/27/android-apps-with-millions-of-downloads-exposed-to-high-severity-vulnerabilities/

Microsoft finds severe bugs in Android apps from large mobile providers
https://www.bleepingcomputer.com/news/security/microsoft-finds-severe-bugs-in-android-apps-from-large-mobile-providers/

脆弱性が見つかったのは2021年9月のこと。

Microsoftによると問題の脆弱性は、AT&T、TELUS、Rogers Communications、Bell Canada、Freedom Mobileなどの通信キャリアがシステムアプリとしてプリインストールしているアプリも使用している、mce Systemsが所有するモバイルフレームワークに存在するもの。当該アプリにはGoogle Playからダウンロード可能なものもあり、ダウンロード数は数百万件に上るとのこと。

プリインストールアプリが広範なシステム特権を持つことと相まって、攻撃者がシステム構成や機密情報にアクセスするための攻撃媒体になる恐れがありました。

脆弱性は以下の4つ。

CVE - CVE-2021-42598
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42598

CVE - CVE-2021-42599
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42599

CVE - CVE-2021-42600
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42600

CVE - CVE-2021-42601
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42601

端末のルート権限がないと完全な無効化やアンインストールができないものがあることから、Microsoftは情報開示に先立ってmce Systemsおよび対象となるモバイルサービスプロバイダ各社に連絡を行い、協力して脆弱性の修正に対応したとのことです。