Quelques vulnérabilités très graves ont récemment été découvertes dans un framework mobile servant Android (s’ouvre dans un nouvel onglet) systèmes d’exploitation, mettant des millions de personnes en danger.
L’équipe de recherche Microsoft 365 Defender, qui a découvert les failles en septembre de l’année dernière, affirme qu’elles auraient pu être utilisées pour lancer de sérieuses attaques sur les appareils cibles, entraînant un vol de données et une prise de contrôle partielle de l’appareil.
Selon un nouveau billet de blog (s’ouvre dans un nouvel onglet)Microsoft « a découvert des vulnérabilités très graves (s’ouvre dans un nouvel onglet) dans un cadre mobile appartenant à mce Systems et utilisé par plusieurs grands fournisseurs de services mobiles dans des applications système Android préinstallées qui exposaient potentiellement les utilisateurs à des attaques à distance (bien que complexes) ou locales ».
Les vulnérabilités sont suivies en tant que CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 et CVE-2021-42601, avec des scores de gravité allant de 7,0 à 8,9 sur 10.
Prise en main de l’appareil
Détaillant plus en détail ses conclusions, Microsoft a déclaré que le cadre mobile comprend un service qui pourrait être exploité pour « permettre aux adversaires d’implanter une porte dérobée persistante ou de prendre un contrôle substantiel sur l’appareil ».
La société a informé à la fois mce Systems et les fournisseurs de services mobiles concernés (dont certains sont « internationaux ») et s’est associée à eux pour travailler sur un correctif. Toutes les vulnérabilités ont maintenant été corrigées, indique le blog.
« Nous avons travaillé en étroite collaboration avec les équipes de sécurité et d’ingénierie de mce Systems pour atténuer ces vulnérabilités », a déclaré Microsoft, « ce qui comprenait l’envoi par mce Systems d’une mise à jour urgente du cadre aux fournisseurs concernés et la publication de correctifs pour les problèmes. Au moment de la publication, il y avait aucun signe signalé d’exploitation de ces vulnérabilités à l’état sauvage ».
Google a également mis à jour son service Play Protect pour couvrir les vecteurs d’attaque.
Bien que Microsoft affirme qu’il n’y a aucune preuve que les failles soient exploitées dans la nature, il a ajouté qu’il pourrait y avoir plus de fournisseurs non découverts affectés par la faille, y compris « plusieurs ateliers de réparation de téléphones mobiles » qui pourraient avoir installé des applications vulnérables sur les terminaux des utilisateurs. (s’ouvre dans un nouvel onglet).