Podatności w aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz

cert.pl 2 dni temu

Opis podatności

CERT Polska otrzymał zgłoszenie dotyczące podatności w aplikacjach fabrycznie zainstalowanych na telefonach Ulefone i Krüger&Matz i koordynował proces ujawniania informacji.

Podatność CVE-2024-13915: Telefony z systemem Android od producentów takich jak Ulefone i Krüger&Matz zawierają aplikację "com.pri.factorytest", instalowaną fabrycznie podczas procesu produkcji. Aplikacja „com.pri.factorytest” (version name: 1.0, version code: 1) udostępnia usługę "com.pri.factorytest.emmc.FactoryResetService", która umożliwia dowolnej aplikacji uruchomienie funkcji przywrócenia ustawień fabrycznych urządzenia. Zaktualizowana aplikacja nie ma wyższej wersji, została jednak dołączona do wydań systemu operacyjnego datowanych po grudniu 2024 roku w przypadku Ulefone i najprawdopodobniej po marcu 2025 roku w przypadku Krüger&Matz (producent nie potwierdził jednak tej informacji, więc nowsze wydania również mogą być podatne).

Podatność CVE-2024-13916: Aplikacja "com.pri.applock", fabrycznie zainstalowana na telefonach Krüger&Matz, umożliwia użytkownikowi szyfrowanie dowolnych aplikacji dzięki kodu PIN lub danych biometrycznych. Publiczna metoda "query()" udostępniona przez dostawcę treści "com.android.providers.settings.fingerprint.PriFpShareProvider" umożliwia złośliwej aplikacji, nieposiadającej żadnych uprawnień systemowych Androida, pozyskanie kodu PIN. Producent nie udostępnił informacji o podatnych wersjach. Jedynie wersja (version name: 13, version code: 33) została przetestowana i potwierdzono w niej podatność.

Podatność CVE-2024-13917: Aplikacja "com.pri.applock", fabrycznie zainstalowana na telefonach Krüger&Matz, umożliwia użytkownikowi szyfrowanie dowolnych aplikacji dzięki kodu PIN lub danych biometrycznych. Udostępniona aktywność "com.pri.applock.LockUI" pozwala dowolnej złośliwej aplikacji, nieposiadającej żadnych uprawnień systemowych Androida, wstrzyknąć dowolny intent do chronionej aplikacji z uprawnieniami systemowymi. Warunkiem jest znajomość kodu PIN (który może zostać ujawniony poprzez wykorzystanie CVE-2024-13916) lub uzyskanie go od użytkownika. Producent nie udostępnił informacji o podatnych wersjach. Jedynie wersja (version name: 13, version code: 33) została przetestowana i potwierdzono w niej podatność.

Podziękowania

Za zgłoszenie podatności dziękujemy Szymonowi Chadamowi.

Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Podatności w aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz

Powiązane

ADHD a ryzyko za kierownicą. Jak dbać o bezpieczeństwo podczas jazdy?

ADHD a ryzyko za kierownicą. Jak dbać o bezpieczeństwo podcz...

3 godzin temu
Masz router Asusa? Sprawdź czy nie została wydana aktualizacja

Masz router Asusa? Sprawdź czy nie została wydana aktualizac...

2 dni temu
Akcja Gajewskiej

Akcja Gajewskiej

2 dni temu
Nowa Kia jest obłędna. Cena? Nie tylko SUV-y zmiata z planszy

Nowa Kia jest obłędna. Cena? Nie tylko SUV-y zmiata z plansz...

2 dni temu
ViciousTrap wykorzystuje lukę w zabezpieczeniach Cisco do zbudowania globalnego honeypotu z 5300 urządzeń

ViciousTrap wykorzystuje lukę w zabezpieczeniach Cisco do zb...

3 dni temu
Podatność w otwartoźródłowym projekcie hackney

Podatność w otwartoźródłowym projekcie hackney

4 dni temu
Podatności TCC Bypass w dwóch aplikacjach na systemy macOS

Podatności TCC Bypass w dwóch aplikacjach na systemy macOS

5 dni temu
Podatność w oprogramowaniu kart hotelowych Be-Tech Mifare Classic

Podatność w oprogramowaniu kart hotelowych Be-Tech Mifare Cl...

6 dni temu