Microsoftは2022年5月27日(米国時間)、「Android apps with millions of downloads exposed to high-severity vulnerabilities - Microsoft Security Blog」において、Androidにプリインストールされているアプリに重要なセキュリティ脆弱性が存在することを発見したと伝えた。リモートから攻撃が可能とされている。この脆弱性を抱えたアプリはすでに何百万もダウンロードされたとのことで、アップデートを行うことが推奨されている。
Microsoftはmce Systemsの開発したフレームワークに脆弱性が存在していたと指摘しており、このフレームワークを使用して開発されたアプリに問題が存在していたと説明している。脆弱性は「CVE-2021-42598」「CVE-2021-42599」「CVE-2021-42600」「CVE-2021-42601」として特定されており、CVSSスコアは7.0から8.9までで「重要」と評価されている。
脆弱性の存在が明らかになっているアプリとしては、次のアプリが示されている。Microsoftは該当するアプリを使っている場合は最新版へアップグレードすることを推奨している。
- Mobile Klinik Device Checkup - Google Play のアプリ
- Device Help - Google Play のアプリ
- MyRogers - Google Play のアプリ
- Freedom Device Care - Google Play のアプリ
- Device Content Transfer - Google Play のアプリ
ただし、上記以外にも、脆弱性を抱えていることが発表されていないアプリが存在している可能性があることにも注意が必要。ベンダーが提供するアップデート情報に注目するとともに、アップデートが提供された場合には基本的に迅速に適用することが望まれている。