Любое приложение может восстановить настройки завода на вашем смартфоне

Смартфоны Ulefone и Krüger & Matz уязвимы из -за критических уязвимостей в предварительно устоявшихся приложениях, которые позволяют любому программному обеспечению, установленному на устройстве, возвращать его в настройки заводской или получить доступ к функциям шифрования приложения. Обнаруженные уязвимости угрожают обеспечению безопасности потребителей, поскольку атака не требует коренных прав или вмешательства владельца смартфона.

Это три уязвимости с идентификаторами: CVE-2024-13915, CVE-2024-13916 с оценками 6,3 по шкале CVSS и CVE-2024-13917, оцениваемые как наиболее опасные с оценкой 8,3. Все они связаны с предварительно установленными программами «com.pri.factorytest» и «com.pri.applock», которые включены в стандартный программный пакет моделей Ulefone и Krüger & Matz.

В первом случае служба «com.pri.factorytest.mmm.factoryresetservice» позволяет каждому третьему партийному приложению инициировать полное восстановление настройки завода устройства. Таким образом, злоумышленник может уничтожить все пользовательские данные и вернуть смартфон в исходное состояние без подтверждения владельцем.

Вторая уязвимость влияет на функцию шифрования приложений с использованием PIN или биометрических данных. It turns out that the component «com.android.providers.settings.fingerprint.prifpshareprovider», implemented in the «Com.pri.Applock» application, opens the «Query ()» method, which allows a third -party application to obtain the PIN code used for access to access to access to access to access to access to access to access to access to access to access to access to access to access to access to access to access to access to access to Доступ к доступу к доступу к доступу к доступу к доступу к доступу к доступу.

Наиболее важной проблемой является возможность вводить произвольное системное намерение с привилегиями системы в защищенное приложение посредством деятельности «com.pri.applock.lockui».

Чтобы воспользоваться уязвимостью, злоумышленник должен знать PIN -код, но его легко обойти, объединяя эксплойт с предыдущей уязвимостью, которая позволяет самому выводу извлекать.

Команда CERT Polska отвечает за обнаружение и ответственное раскрытие этих уязвимостей. Автор результатов — Саймон Хадам. В настоящее время нет точной информации о состоянии ликвидации уязвимостей со стороны производителей — Ulefone и Krüger & Matz получили уведомления, но не сообщили о мерах, предпринятых для устранения угрозы.

Инцидент показывает, что даже с новыми устройствами, где пользователи надеются на безопасность благодаря новой версии операционной системы и расширенным настройкам безопасности, уязвимости в предварительно установленных службах могут открыть дверь для атак и утечки персональных данных. Эксперты рекомендуют вам уделять большое внимание безопасности заранее устоявшегося программного обеспечения, а также контролировать новые обновления.