Vulnerabilidades em Smartphones
3 de Junho de 2025

Três vulnerabilidades de segurança foram divulgadas em aplicações pré-carregadas nos smartphones da Ulefone e Krüger&Matz, que podem permitir que qualquer aplicativo instalado no dispositivo realize um (factory reset) reset de fábrica e criptografe um aplicativo.

Uma breve descrição das três falhas é a seguinte:

- CVE-2024-13915 (pontuação CVSS: 6.9) - Um aplicativo pré-instalado "com.pri.factorytest" nos smartphones da Ulefone e Krüger&Matz expõe um serviço "com.pri.factorytest.emmc.FactoryResetService" que permite qualquer aplicativo instalado realizar um reset de fábrica do dispositivo.

- CVE-2024-13916 (pontuação CVSS: 6.9) - Um aplicativo pré-instalado "com.pri.applock" nos smartphones da Kruger&Matz permite que um usuário criptografe qualquer aplicativo usando um PIN fornecido pelo usuário ou usando dados biométricos.

O app também expõe um método "query()" de um content provider "com.android.providers.settings.fingerprint.PriFpShareProvider" que permite que qualquer app malicioso, já instalado no dispositivo por outros meios, exfiltre o código PIN.

- CVE-2024-13917 (pontuação CVSS: 8.3) - Um aplicativo pré-instalado "com.pri.applock" nos smartphones da Kruger&Matz expôs uma atividade "com.pri.applock.LockUI" que permite a qualquer outro aplicativo malicioso, sem permissões concedidas do sistema Android, injetar uma intenção arbitrária com privilégios de nível de sistema em um aplicativo protegido.

Embora a exploração do CVE-2024-13917 exija que o adversário conheça o número PIN de proteção, esse pode ser encadeado com o CVE-2024-13916 para vazar o código PIN.

O CERT Polska, que detalhou as vulnerabilidades, creditou a Szymon Chadam por divulgá-las de forma responsável.

No entanto, o status exato da correção dessas falhas permanece incerto.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...