Microsoft: bug critici nelle app preinstallate su milioni di dispositivi Android

Microsoft ha scoperto vulnerabilità di gravità elevata in un framework mobile di proprietà di mce Systems e utilizzato da più grandi provider di servizi mobili in app di sistema Android preinstallate che potenzialmente espongono gli utenti ad attacchi remoti o locali.

Le vulnerabilità, che hanno interessato le app con milioni di download, sono state corrette da tutte le parti coinvolte. Insieme agli ampi privilegi di sistema delle app preinstallate, queste vulnerabilità potrebbero essere state vettori di attacco per consentire agli aggressori di accedere alla configurazione del sistema e alle informazioni riservate.

Come con molte delle applicazioni preinstallate o predefinite presenti nella maggior parte dei dispositivi Android, alcune delle app interessate non possono essere completamente disinstallate o disabilitate senza ottenere l’accesso come root al dispositivo. Microsoft ha collaborato con mce Systems, lo sviluppatore del framework e i fornitori di servizi mobili interessati per risolvere questi problemi.

La collaborazione tra i ricercatori della sicurezza, i fornitori di software e la comunità della sicurezza è importante per migliorare continuamente le difese per l’ecosistema più ampio. Poiché il panorama delle minacce e dell’informatica continua a evolversi, le scoperte di vulnerabilità, la risposta coordinata e altre forme di condivisione dell’intelligence sulle minacce sono fondamentali per proteggere i clienti dalle minacce presenti e future, indipendentemente dalla piattaforma o dal dispositivo che stanno utilizzando.

Le vulnerabilità

La ricerca sulle vulnerabilità del framework è iniziata per capire meglio come un’applicazione di sistema preinstallata potesse influenzare la sicurezza generale dei dispositivi mobili. Microsoft ha scoperto che il framework, utilizzato da numerose app, disponeva di un’attività di servizio “navigabile” e che un utente malintenzionato poteva invocare da remoto per sfruttare diverse vulnerabilità che potevano consentire agli attacker di impiantare una backdoor persistente o assumere un controllo sostanziale sul dispositivo.

Il framework sembrava essere progettato per offrire meccanismi di autodiagnostica per identificare e risolvere i problemi che incidono sul dispositivo Android, e le sue autorizzazioni erano intrinsecamente ampie con l’accesso a risorse preziose. Ad esempio, il framework è stato autorizzato ad accedere alle risorse di sistema ed eseguire attività relative al sistema, come la regolazione dell’audio, della fotocamera, dell’alimentazione e dei controlli di archiviazione del dispositivo.

Secondo mce Systems, alcune di queste vulnerabilità hanno interessato anche altre app su dispositivi Android e iOS. Inoltre, il framework vulnerabile e le app affiliate sono state trovate su dispositivi di grandi fornitori di servizi mobili internazionali. mce Systems, che offre “Mobile Device Lifecycle and Automation Technologies”, ha inoltre consentito ai provider di personalizzare e contrassegnare le rispettive app e framework mobili. I framework preinstallati e le app mobili come mce Systems sono utili per utenti e provider in aree come la semplificazione del processo di attivazione del dispositivo, la risoluzione dei problemi del dispositivo e l’ottimizzazione delle prestazioni. Tuttavia, il loro ampio controllo sul dispositivo per fornire questo tipo di servizi potrebbe anche renderli un bersaglio attraente per gli aggressori.

Le vulnerabilità ad alta gravità, che hanno un punteggio CVSS (Common Vulnerability Scoring System) di 7,0-8,9, sono ora identificate come CVE-2021-42598 , CVE-2021-42599 , CVE-2021-42600 e CVE-2021-42601. 

Manifesto dell’app e autorizzazioni

Quando si analizza un’applicazione Android, la prima cosa che viene in mente è controllarne il manifest, mantenuto nel file AndroidManifest.xml. Il manifest descrive l’applicazione stessa e i suoi componenti, come i seguenti:

• Autorizzazioni (ad esempio, accesso alla fotocamera, accesso a Internet e altro)
• Attività e come rispondono agli intenti che sono stati loro inviati
• Fornitori di contenuti
• Destinatari e il tipo di contenuto che si aspettano di ricevere
• Servizi

Il controllo del manifest di un’app affiliata al framework di mce Systems ha fatto luce su alcune delle sue caratteristiche e capacità, ma non ha indicato immediatamente la presenza di vulnerabilità o problemi di sicurezza. Pertanto, sono state necessarie ulteriori ricerche sulla funzionalità dell’app per comprendere le sue autorizzazioni.

L’analisi delle autorizzazioni dell’app sul dispositivo mobile ha rivelato autorizzazioni che potevano portare a un accesso completo e a funzionalità elevate per un utente malintenzionato. Tali autorizzazioni includevano il controllo su quanto segue:

• Rete: accedi a Internet, modifica lo stato Wi-Fi, lo stato della rete, NFC e Bluetooth
• Accesso ai file: leggi e scrivi nella memoria esterna
• Periferiche: accedi alla fotocamera, registra l’audio, ottieni informazioni sulle impronte digitali e ottieni la posizione fisica del dispositivo
• Informazioni private: leggi i numeri di telefono, le informazioni sull’account e i contatti
• Gestione: installa app e modifica le impostazioni del dispositivo

Con l’accesso a queste preziose risorse, l’app potrebbe essere utilizzata in modo improprio da un utente malintenzionato per impiantare una backdoor persistente sul dispositivo.

Le vulnerabilità, che hanno interessato le app con milioni di download, sono state corrette da tutte le parti coinvolte. Non si sa però se e quale utilizzo è stato fatto da attacker ai sistemi interessati.