近日 ，微软微软365 Defender 研究团队披露了在 mce Systems 提供的发现 Android Apps 移动服务框架中的严重安全漏洞，多个运营商的预用受影响默认预装应用受影响
，其下载量已达数百万次 。高危

研究人员发现的模板下载漏洞漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、微软  CVE-2021-42600和 CVE-2021-42601，发现 CVSS评分在 7.0分-8.9分之间，预用受影响 能够让用户遭受命令注入和权限提升攻击 ，高危受影响的漏洞运营商包括 AT&T 、亿华云TELUS、微软Rogers Communications、发现Bell Canada和 Freedom Mobile 。预用受影响

研究人员发现该框架有一个“BROWSABLE”服务活动
，高危可以远程调用以利用多个漏洞，漏洞攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制 。

这些带有漏洞的免费模板应用程序嵌入在设备的系统映像中
，表明它们是这些运营商提供的预装软件 。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样，服务器租用如果没有获得设备的 root 访问权限 ，一些受影响的应用程序就无法完全卸载或禁用。

在微软公开披露这些漏洞之前 ，mce Systems 已修复问题并向受影响的提供商提供框架更新，源码库但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本，如果用户安装了包名为 com.mce.mceiotraceagent的应用，其设备也可能会受到试图滥用这些漏洞的攻击，建议用户及时清除这些应用，源码下载并更新至最新的系统版本。