Всяко приложение може да възстанови фабричните настройки на смартфона ви – без root или вашето знание
Смартфоните на Ulefone и Krüger&Matz са уязвими заради сериозни уязвимости в авансово конфигурираните приложения, които разрешават на всеки програмен продукт, конфигуриран на устройството да го върне към фабричните настройки или да получи достъп до функционалностите за криптиране на приложенията. Откритите уязвимости заплашват сигурността на потребителите, защото офанзивата не изисква root права или интервенция на притежателя на смарт телефона.
Става дума за три уязвимости с идентификатори: CVE-2024-13915, CVE-2024-13916 с оценки 6,3 по скалата CVSS и CVE-2024-13917, оценена като най-опасна – с оценка 8,3. Всички те са свързани с авансово конфигурираните стратегии „ com.pri.factorytest “ и „ com.pri.applock “, които са включени в общоприетия софтуерен пакет на моделите на Ulefone и Krüger&Matz.
В първия случай услугата „ com.pri.factorytest.emmc.FactoryResetService “ разрешава на всяко приложение от трета страна да инициира цялостно възобновяване на фабричните настройки на устройството. По този метод нападателят може да унищожи всички потребителски данни и да върне смарт телефона в първичното му положение без удостоверение от страна на притежателя.
Втората накърнимост визира функционалността за криптиране на приложения, употребяващи ПИН код или биометрични данни. Оказва се, че съставният елемент „ com.android.providers.settings.fingerprint.PriFpShareProvider “, осъществен в приложението „ com.pri.applock “ отваря метода „ query() “, което разрешава на приложение от трета страна да получи ПИН кода, употребен за достъп до предпазените приложения.
Най-критичният проблем е опцията за инжектиране на случайно редовно желание с привилегии на редовно равнище в предпазено приложение посредством активността на „ com.pri.applock.LockUI “.
За да се възползва от уязвимостта, нападателят би трябвало да знае ПИН кода, само че това елементарно се заобикаля посредством съчетание на експлойта с предходната накърнимост, която разрешава извличането на самия ПИН код.
Екипът на CERT Polska е виновен за откриването и виновното обявяване на тези уязвимости. Автор на констатациите е Симон Хадам. Към момента няма точна информация за положението на премахване на уязвимостите от производителите – Ulefone и Krüger&Matz са получили уведомления, само че не са съобщили за подхванатите ограничения за премахване на опасността.
Инцидентът демонстрира, че даже при новите устройства, където потребителите се надяват на сигурност с помощта на свежата версия на операционната система и разширените настройки за сигурност, уязвимостите в авансово конфигурираните услуги могат да отворят вратата за офанзиви и приключване на персонални данни. Експертите предлагат да се обръща огромно внимание на сигурността на авансово инсталирания програмен продукт, както и да се следи за нови актуализации.
