Što trebaš znati
- Microsoft je razotkrio ozbiljne ranjivosti u unaprijed instaliranim Android aplikacijama s milijunima preuzimanja.
- Sigurnosni propusti mogli su omogućiti napadačima ubacivanje backdoor pristupa ili preuzimanje kontrole nad milijunima uređaja.
- Google i druge zainteresirane strane već su zakrpale ranjivosti.
Hrpa ozbiljnih sigurnosnih propusta u mobilnom okviru koji se koristi za unaprijed instalirane Android aplikacije raznih pružatelja mobilnih usluga mogla je ugroziti milijune uređaja. Microsoft ima otkrio ove ranjivosti, koji su u međuvremenu zakrpani.
Pogođeni mobilni okvir razvio je mce Systems, izraelski pružatelj usluga upravljanja životnim ciklusom višekanalnih uređaja. Microsoft je rekao da je prvobitno otkrio sigurnosne propuste u rujnu 2021. i obavijestio mce Systems kao i pogođene pružatelje mobilnih usluga o svojim nalazima.
Microsoft je identificirao ranjivosti kao CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 i CVE-2021-42601, s ocjenom 7,0–8,9 (visoka ozbiljnost).
Ranjivosti su utjecale na aplikacije s milijunima preuzimanja, potencijalno izlažući korisnike udaljenim ili lokalnim napadima. Prema Microsoftovom istraživačkom timu 365 Defender, nedostaci su napadačima mogli omogućiti pristup stražnjim vratima ili im omogućiti da steknu "znatnu kontrolu" nad ranjivim uređajima.
"Naša analiza nadalje je otkrila da su aplikacije ugrađene u sliku sustava uređaja, što sugerira da su to bile zadane aplikacije koje su instalirali pružatelji telefonskih usluga", objasnio je Microsoft. "Sve su aplikacije dostupne u Trgovini Google Play gdje prolaze kroz automatske sigurnosne provjere Google Play Protecta, ali te provjere prethodno nisu skenirale ove vrste problema."
Sigurnosni nedostaci u međuvremenu su zakrpani nakon što je Microsoft radio s mce Systems i Google. Android Central je kontaktirao Google za komentar i ažurirat će ovaj članak kada primimo odgovor.
Srećom, trenutno nema dokaza koji bi sugerirali da su ranjivosti iskorištene u prirodi. Međutim, Microsoft upozorava da ranjivi okvir još uvijek može postojati u aplikacijama drugih telekomunikacijskih kompanija.
"Pronađeno je da nekoliko drugih pružatelja mobilnih usluga koriste ranjivi okvir sa svojim odgovarajućim aplikacijama, što sugerira da bi mogli postojati dodatni neotkriveni pružatelji usluga koji bi mogli biti pogođeni", rekao je softverski div sa sjedištem u Redmondu.
To je dodao i Microsoft Google Play Protect sada skenira ove vrste ranjivosti.
Ipak, naglašava rizike povezane s unaprijed instaliranim aplikacijama koje se isporučuju s mnogim današnjim aplikacijama najbolji Android telefoni i nemoguće ih je ukloniti bez root pristupa.
Google Pixel 6 Pro
Google Pixel 6 Pro izvrstan je Android uređaj, zahvaljujući svom elegantnom dizajnu i impresivnim performansama. Također ima svestranu postavku kamere s nadograđenim hardverom, osiguravajući da uvijek dobijete najbolje fotografije.