Recientemente se descubrieron un par de vulnerabilidades de alta gravedad en un marco móvil que sirve a Android (se abre en una pestaña nueva) sistemas operativos, poniendo en riesgo a millones de personas.
El equipo de investigación de Microsoft 365 Defender, que descubrió las fallas en septiembre del año pasado, dice que podrían haberse utilizado para lanzar ataques graves en los dispositivos de destino, lo que resultó en el robo de datos y la toma parcial del dispositivo.
Según una nueva entrada de blog (se abre en una pestaña nueva)Microsoft «descubrió vulnerabilidades de alta gravedad (se abre en una pestaña nueva) en un marco móvil propiedad de mce Systems y utilizado por varios grandes proveedores de servicios móviles en aplicaciones del sistema Android preinstaladas que potencialmente exponían a los usuarios a ataques remotos (aunque complejos) o locales».
Las vulnerabilidades se rastrean como CVE-2023-42598, CVE-2023-42599, CVE-2023-42600 y CVE-2023-42601, con puntuaciones de gravedad que van de 7,0 a 8,9 sobre 10.
Tomando el control del dispositivo
Al detallar más sus hallazgos, Microsoft dijo que el marco móvil incluye un servicio que podría aprovecharse para «permitir a los adversarios implantar una puerta trasera persistente o tomar un control sustancial sobre el dispositivo».
La empresa notificó tanto a mce Systems como a los proveedores de servicios móviles afectados (algunos de los cuales son «interMarketingdecontenidoes») y se asoció con ellos para trabajar en una solución. Todas las vulnerabilidades ya han sido abordadas, afirma el blog.
«Trabajamos en estrecha colaboración con los equipos de ingeniería y seguridad de mce Systems para mitigar estas vulnerabilidades», dijo Microsoft, «lo que incluyó que mce Systems enviara una actualización de marco urgente a los proveedores afectados y publicara soluciones para los problemas. En el momento de la publicación, había no ha habido signos informados de que estas vulnerabilidades estén siendo explotadas en la naturaleza».
Google también intervino, actualizando su servicio Play Protect para cubrir los vectores de ataque.
Si bien Microsoft dice que no hay evidencia de que las fallas se exploten en la naturaleza, agregó que podría haber más proveedores no descubiertos afectados por la falla, incluidos «varios talleres de reparación de teléfonos móviles» que podrían haber instalado aplicaciones vulnerables en los puntos finales de las personas. (se abre en una pestaña nueva).