Opis podatności

CERT Polska otrzymał zgłoszenie dotyczące podatności w fabrycznie zainstalowanych aplikacjach na telefonach Bluebird i koordynował proces ujawniania informacji.

Podatność CVE-2025-5344: Telefony marki Bluebird zawierają fabrycznie zainstalowaną aplikację kiosku. Ta aplikacja udostępnia niezabezpieczoną usługę com.bluebird.kiosk.launcher.IpartnerKioskRemoteService. Złośliwa aplikacja może wykorzystać tę usługę do modyfikacji globalnych ustawień urządzenia oraz zmiany tapety.

Ta podatność dotyczy wszystkich wersji przed wersją 1.1.2.

Podatność CVE-2025-5345: Telefony marki Bluebird zawierają fabrycznie zainstalowaną aplikację menedżera plików. Ta aplikacja udostępnia niezabezpieczoną usługę com.bluebird.system.koreanpost.IsdcardRemoteService. Złośliwa aplikacja może wykorzystać tę usługę do kopiowania oraz usuwania dowolnego pliku z uprawnieniami systemowymi.

Podatność występuje w wersji 1.4.4, wspomniana wersja została wycofana i zastąpiona starszą, w której podatność nie występuje: 1.3.6

Podatność CVE-2025-5346: Telefony marki Bluebird zawierają fabrycznie zainstalowaną aplikację skanera kodów kreskowych. Ta aplikacja udostępnia niezabezpieczony odbiornik rozgłoszeniowy kr.co.bluebird.android.bbsettings.BootReceiver. Złośliwa aplikacja może wykorzystać ten odbiornik do nadpisania plików, domyślnym plikiem konfiguracyjnym aplikacji. Możliwe jest nadpisanie dowolnego pliku, zawierającego w nazwie .json, z wykorzystaniem ataku typu Path Traversal.

Ta podatność dotyczy wszystkich wersji przed wersją 1.3.3.

Podziękowania

Za zgłoszenie podatności dziękujemy Szymonowi Chadamowi.