Это позволяют любому установленному на устройстве ПО сбросить его до заводских настроек или получить доступ к функциям шифрования приложений. Обнаруженные уязвимости угрожают безопасности пользователей, так как атака не требует прав суперпользователя или вмешательства владельца смартфона, пишет Securitylab.
Сразу три уязвимости получили свои идентификаторы: CVE-2024-13915 и CVE-2024-13916 с оценкой 6,9 балла по шкале CVSS, а также CVE-2024-13917, оценённая как наиболее опасная — 8,3 балла. Все они связаны с предустановленными программами «com.pri.factorytest» и «com.pri.applock», которые входят в стандартный набор ПО на моделях Ulefone и Krüger&Matz.
В первом случае сервис «com.pri.factorytest.emmc.FactoryResetService» даёт возможность любому стороннему приложению инициировать полный сброс устройства до заводского состояния. Таким образом, злоумышленник может уничтожить все пользовательские данные и вернуть смартфон к исходному виду без подтверждения владельца.
Вторая уязвимость затрагивает функцию шифрования приложений с помощью PIN-кода или биометрии. Оказалось, что компонент «com.android.providers.settings.fingerprint.PriFpShareProvider», реализованный внутри приложения «com.pri.applock», открывает метод «query()», который позволяет стороннему приложению получить PIN-код, используемый для доступа к защищённым программам.
Наиболее критическая проблема — это возможность внедрения произвольного системного намерения (intent) с привилегиями уровня системы в защищённое приложение через активность «com.pri.applock.LockUI». Для её эксплуатации злоумышленнику необходимо знать PIN-код, однако эту преграду легко обойти, если объединить эксплойт с предыдущей уязвимостью, позволяющей извлечь сам PIN.
Ответственность за обнаружение и ответственное раскрытие данных уязвимостей взяла на себя команда CERT Polska. Автором находок стал Сымон Хадам. В настоящее время нет точной информации о статусе исправления ошибок производителями — Ulefone и Krüger&Matz получили уведомления, но не сообщили о мерах по устранению угрозы.