CVE ID | CVE-2024-13915 |
Data publikacji | 30 maja 2025 |
Producent podatnego oprogramowania | Ulefone |
Nazwa podatnego oprogramowania | com.pri.factorytest |
Podatne wersje | Wszystkie do 1.0 włącznie |
Typ podatności (CWE) | Improper Export of Android Application Components (CWE-926) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2024-13916 |
Data publikacji | 30 maja 2025 |
Producent podatnego oprogramowania | Krüger&Matz |
Nazwa podatnego oprogramowania | com.pri.applock |
Podatne wersje | 13 |
Typ podatności (CWE) | Exposure of Sensitive System Information to an Unauthorized Control Sphere (CWE-497) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2024-13917 |
Data publikacji | 30 maja 2025 |
Producent podatnego oprogramowania | Krüger&Matz |
Nazwa podatnego oprogramowania | com.pri.applock |
Podatne wersje | 13 |
Typ podatności (CWE) | Improper Export of Android Application Components (CWE-926) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie dotyczące podatności w aplikacjach fabrycznie zainstalowanych na telefonach Ulefone i Krüger&Matz i koordynował proces ujawniania informacji.
Podatność CVE-2024-13915: Telefony z systemem Android od producentów takich jak Ulefone i Krüger&Matz zawierają aplikację "com.pri.factorytest", instalowaną fabrycznie podczas procesu produkcji. Aplikacja „com.pri.factorytest” (version name: 1.0, version code: 1) udostępnia usługę "com.pri.factorytest.emmc.FactoryResetService", która umożliwia dowolnej aplikacji uruchomienie funkcji przywrócenia ustawień fabrycznych urządzenia. Zaktualizowana aplikacja nie ma wyższej wersji, została jednak dołączona do wydań systemu operacyjnego datowanych po grudniu 2024 roku w przypadku Ulefone i najprawdopodobniej po marcu 2025 roku w przypadku Krüger&Matz (producent nie potwierdził jednak tej informacji, więc nowsze wydania również mogą być podatne).
Podatność CVE-2024-13916: Aplikacja "com.pri.applock", fabrycznie zainstalowana na telefonach Krüger&Matz, umożliwia użytkownikowi szyfrowanie dowolnych aplikacji za pomocą kodu PIN lub danych biometrycznych. Publiczna metoda "query()" udostępniona przez dostawcę treści "com.android.providers.settings.fingerprint.PriFpShareProvider" umożliwia złośliwej aplikacji, nieposiadającej żadnych uprawnień systemowych Androida, pozyskanie kodu PIN. Producent nie udostępnił informacji o podatnych wersjach. Jedynie wersja (version name: 13, version code: 33) została przetestowana i potwierdzono w niej podatność.
Podatność CVE-2024-13917: Aplikacja "com.pri.applock", fabrycznie zainstalowana na telefonach Krüger&Matz, umożliwia użytkownikowi szyfrowanie dowolnych aplikacji za pomocą kodu PIN lub danych biometrycznych. Udostępniona aktywność "com.pri.applock.LockUI" pozwala dowolnej złośliwej aplikacji, nieposiadającej żadnych uprawnień systemowych Androida, wstrzyknąć dowolny intent do chronionej aplikacji z uprawnieniami systemowymi. Warunkiem jest znajomość kodu PIN (który może zostać ujawniony poprzez wykorzystanie CVE-2024-13916) lub uzyskanie go od użytkownika. Producent nie udostępnił informacji o podatnych wersjach. Jedynie wersja (version name: 13, version code: 33) została przetestowana i potwierdzono w niej podatność.
Podziękowania
Za zgłoszenie podatności dziękujemy Szymonowi Chadamowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.