Três vulnerabilidades de segurança foram divulgadas em aplicações pré-carregadas nos smartphones da Ulefone e Krüger&Matz, que podem permitir que qualquer aplicativo instalado no dispositivo realize um (factory reset) reset de fábrica e criptografe um aplicativo.
Uma breve descrição das três falhas é a seguinte:
-
CVE-2024-13915
(pontuação CVSS: 6.9) - Um aplicativo pré-instalado "com.pri.factorytest" nos smartphones da Ulefone e Krüger&Matz expõe um serviço "com.pri.factorytest.emmc.FactoryResetService" que permite qualquer aplicativo instalado realizar um reset de fábrica do dispositivo.
-
CVE-2024-13916
(pontuação CVSS: 6.9) - Um aplicativo pré-instalado "com.pri.applock" nos smartphones da Kruger&Matz permite que um usuário criptografe qualquer aplicativo usando um PIN fornecido pelo usuário ou usando dados biométricos.
O app também expõe um método "query()" de um content provider "com.android.providers.settings.fingerprint.PriFpShareProvider" que permite que qualquer app malicioso, já instalado no dispositivo por outros meios, exfiltre o código PIN.
-
CVE-2024-13917
(pontuação CVSS: 8.3) - Um aplicativo pré-instalado "com.pri.applock" nos smartphones da Kruger&Matz expôs uma atividade "com.pri.applock.LockUI" que permite a qualquer outro aplicativo malicioso, sem permissões concedidas do sistema Android, injetar uma intenção arbitrária com privilégios de nível de sistema em um aplicativo protegido.
Embora a exploração do
CVE-2024-13917
exija que o adversário conheça o número PIN de proteção, esse pode ser encadeado com o
CVE-2024-13916
para vazar o código PIN.
O CERT Polska, que detalhou as vulnerabilidades, creditou a Szymon Chadam por divulgá-las de forma responsável.
No entanto, o status exato da correção dessas falhas permanece incerto.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...