CERT Polska opublikował 3 luki w zabezpieczeniach aplikacji, które są fabrycznie instalowane na telefonach Ulefone i Krüger&Matz. Aplikacje te są w stanie zrobić reset do ustawień fabrycznych oraz zaszyfrować aplikację.
- CVE-2024-13915 (CVSS: 6.9) – Telefony wspomnianych producentów zawierają aplikację „com.pri.factorytest”, dostarczaną razem z telefonem, instalowaną podczas procesu produkcyjnego. Aplikacja „com.pri.factorytest” (nazwa wersji: 1.0, kod wersji: 1) udostępnia usługę ”com.pri.factorytest.emmc.FactoryResetService “, która pozwala dowolnej aplikacji na zresetowanie do ustawień fabrycznych całego urządzenia.
- CVE-2024-13916 (CVSS: 6.9) – Telefony Krüger&Matz posiadają aplikację „com.pri.applock”, pozwalająca użytkownikowi na zaszyfrowanie dowolnej aplikacji przy użyciu kodu PIN czy danych biometrycznych. Luka polega na tym, że jedna z metod używanych w dostawcy treści o nazwie „com.android.providers.settings.fingerprint.PriFpShareProvider.” umożliwia exfiltrację kodów PIN użytkownika bez jakichkolwiek uprawnień systemowych.
- CVE-2024-13917 (CVSS: 8.3) – z największym scoringiem , aplikacja „com.pri.applock”, dostępna na telefonach Krüger&Matz, która pozwala użytkownikom zaszyfrować jakąkolwiek apliację używając kodu PIN lub biometrii. Widoczna aktywność ”com.pri.applock.LockUI“, pozwala złośliwym aplikacjom, nie posiadającym żadnych uprawnień systemowych wstrzyknięcie intencji do chronionej aplikacji. PIN może być ujawniony poprzez wykorzystanie poprzedniej luki lub poprosić użytkownika o wpisanie.
Więcej szczegółów na stronie CERT:
