Las aplicaciones Android precargadas en los teléfonos inteligentes Ulefone y Krüger & Matz revelan tres vulnerabilidades de seguridad que permiten que las aplicaciones instalen en los dispositivos realicen un reinicio de fábrica y cifre la aplicación.
Una breve explicación de los tres defectos es la siguiente.
CVE-2024-13915 (Puntuación CVSS: 6.9)-La aplicación «Com.Pri.FactoryTest» preinstalada en Ulefone y Krüger & Matz Smartphones publicará «Com.pri.FactoryTest.Emmc.FactoryReStervice». CVE-2024-13916 (Puntuación CVSS: 6.9)-La aplicación «Com.pri.applock» preinstalada en su teléfono inteligente Kruger & Matz le permite cifrar cualquier aplicación utilizando código PIN proporcionado por el usuario o utilizando datos biométricos. La aplicación también expone el método «Query ()» del proveedor de contenido «com.android.providers.settings.fingerprint.prifpshareprovider». Esto eliminará el código PIN para aplicaciones maliciosas ya instaladas en su dispositivo por otros medios. CVE-2024-13917 (Puntuación CVSS: 8.3)-La aplicación «Com.pri.applock» preinstalada en Kruger & Matz Smartphones ha lanzado la actividad «Com.pri.applock.lockui».
Para aprovechar CVE-2024-13917, debe conocer el número de PIN de protección para el enemigo, pero puede encadenarlo con CVE-2024-13916 para filtrar el código PIN.
Cert Polska, quien detalló la vulnerabilidad, fue elogiado por Szymon Chadam por su revelación responsable. Sin embargo, el estado exacto del parche de estos defectos sigue siendo desconocido. Hacker News ha pedido a Ulefone y Krüger & Matz comentarios adicionales y actualizará la historia si hay una respuesta.
Source link
