Opis podatności
CERT Polska otrzymał zgłoszenie dotyczące podatności w aplikacjach fabrycznie zainstalowanych na telefonach Ulefone i Krüger&Matz i koordynował proces ujawniania informacji.
Podatność CVE-2024-13915: Telefony z systemem Android od producentów takich jak Ulefone i Krüger&Matz zawierają aplikację "com.pri.factorytest", instalowaną fabrycznie podczas procesu produkcji. Aplikacja „com.pri.factorytest” (version name: 1.0, version code: 1) udostępnia usługę "com.pri.factorytest.emmc.FactoryResetService", która umożliwia dowolnej aplikacji uruchomienie funkcji przywrócenia ustawień fabrycznych urządzenia. Zaktualizowana aplikacja nie ma wyższej wersji, została jednak dołączona do wydań systemu operacyjnego datowanych po grudniu 2024 roku w przypadku Ulefone i najprawdopodobniej po marcu 2025 roku w przypadku Krüger&Matz (producent nie potwierdził jednak tej informacji, więc nowsze wydania również mogą być podatne).
Podatność CVE-2024-13916: Aplikacja "com.pri.applock", fabrycznie zainstalowana na telefonach Krüger&Matz, umożliwia użytkownikowi szyfrowanie dowolnych aplikacji dzięki kodu PIN lub danych biometrycznych. Publiczna metoda "query()" udostępniona przez dostawcę treści "com.android.providers.settings.fingerprint.PriFpShareProvider" umożliwia złośliwej aplikacji, nieposiadającej żadnych uprawnień systemowych Androida, pozyskanie kodu PIN. Producent nie udostępnił informacji o podatnych wersjach. Jedynie wersja (version name: 13, version code: 33) została przetestowana i potwierdzono w niej podatność.
Podatność CVE-2024-13917: Aplikacja "com.pri.applock", fabrycznie zainstalowana na telefonach Krüger&Matz, umożliwia użytkownikowi szyfrowanie dowolnych aplikacji dzięki kodu PIN lub danych biometrycznych. Udostępniona aktywność "com.pri.applock.LockUI" pozwala dowolnej złośliwej aplikacji, nieposiadającej żadnych uprawnień systemowych Androida, wstrzyknąć dowolny intent do chronionej aplikacji z uprawnieniami systemowymi. Warunkiem jest znajomość kodu PIN (który może zostać ujawniony poprzez wykorzystanie CVE-2024-13916) lub uzyskanie go od użytkownika. Producent nie udostępnił informacji o podatnych wersjach. Jedynie wersja (version name: 13, version code: 33) została przetestowana i potwierdzono w niej podatność.
Podziękowania
Za zgłoszenie podatności dziękujemy Szymonowi Chadamowi.