Vulnerabilidades em Smartphones
3 de Junho de 2025

Três vulnerabilidades de segurança foram divulgadas em aplicações pré-carregadas nos smartphones da Ulefone e Krüger&Matz, que podem permitir que qualquer aplicativo instalado no dispositivo realize um (factory reset) reset de fábrica e criptografe um aplicativo.

Uma breve descrição das três falhas é a seguinte:

- CVE-2024-13915 (pontuação CVSS: 6.9) - Um aplicativo pré-instalado "com.pri.factorytest" nos smartphones da Ulefone e Krüger&Matz expõe um serviço "com.pri.factorytest.emmc.FactoryResetService" que permite qualquer aplicativo instalado realizar um reset de fábrica do dispositivo.

- CVE-2024-13916 (pontuação CVSS: 6.9) - Um aplicativo pré-instalado "com.pri.applock" nos smartphones da Kruger&Matz permite que um usuário criptografe qualquer aplicativo usando um PIN fornecido pelo usuário ou usando dados biométricos.

O app também expõe um método "query()" de um content provider "com.android.providers.settings.fingerprint.PriFpShareProvider" que permite que qualquer app malicioso, já instalado no dispositivo por outros meios, exfiltre o código PIN.

- CVE-2024-13917 (pontuação CVSS: 8.3) - Um aplicativo pré-instalado "com.pri.applock" nos smartphones da Kruger&Matz expôs uma atividade "com.pri.applock.LockUI" que permite a qualquer outro aplicativo malicioso, sem permissões concedidas do sistema Android, injetar uma intenção arbitrária com privilégios de nível de sistema em um aplicativo protegido.

Embora a exploração do CVE-2024-13917 exija que o adversário conheça o número PIN de proteção, esse pode ser encadeado com o CVE-2024-13916 para vazar o código PIN.

O CERT Polska, que detalhou as vulnerabilidades, creditou a Szymon Chadam por divulgá-las de forma responsável.

No entanto, o status exato da correção dessas falhas permanece incerto.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...