Любое приложение может сбросить ваш смартфон до заводских — без рута и вашего ведома
NewsMakerОдна команда — и всё, что вы хранили, исчезает без следа.
Смартфоны марок Ulefone и Krüger&Matz оказались уязвимы из-за критических ошибок в предустановленных приложениях, которые позволяют любому установленному на устройстве ПО сбросить его до заводских настроек или получить доступ к функциям шифрования приложений. Обнаруженные уязвимости угрожают безопасности пользователей, так как атака не требует прав суперпользователя или вмешательства владельца смартфона.
Сразу три уязвимости получили свои идентификаторы: CVE-2024-13915 и CVE-2024-13916 с оценкой 6,9 балла по шкале CVSS, а также CVE-2024-13917 , оценённая как наиболее опасная — 8,3 балла. Все они связаны с предустановленными программами «com.pri.factorytest» и «com.pri.applock», которые входят в стандартный набор ПО на моделях Ulefone и Krüger&Matz.
В первом случае сервис «com.pri.factorytest.emmc.FactoryResetService» даёт возможность любому стороннему приложению инициировать полный сброс устройства до заводского состояния. Таким образом, злоумышленник может уничтожить все пользовательские данные и вернуть смартфон к исходному виду без подтверждения владельца.
Вторая уязвимость затрагивает функцию шифрования приложений с помощью PIN-кода или биометрии. Оказалось, что компонент «com.android.providers.settings.fingerprint.PriFpShareProvider», реализованный внутри приложения «com.pri.applock», открывает метод «query()», который позволяет стороннему приложению получить PIN-код, используемый для доступа к защищённым программам.
Наиболее критическая проблема — это возможность внедрения произвольного системного намерения (intent) с привилегиями уровня системы в защищённое приложение через активность «com.pri.applock.LockUI». Для её эксплуатации злоумышленнику необходимо знать PIN-код, однако эту преграду легко обойти, если объединить эксплойт с предыдущей уязвимостью, позволяющей извлечь сам PIN.
Ответственность за обнаружение и ответственное раскрытие данных уязвимостей взяла на себя команда CERT Polska. Автором находок стал Сымон Хадам. В настоящее время нет точной информации о статусе исправления ошибок производителями — Ulefone и Krüger&Matz получили уведомления, но не сообщили о мерах по устранению угрозы.
Инцидент показывает, что даже на новых устройствах, где пользователи надеются на безопасность благодаря свежей версии ОС и продвинутым настройкам защиты, уязвимости в предустановленных сервисах могут открыть двери для атак и утечки личных данных. Специалисты рекомендуют внимательно относиться к безопасности предустановленного ПО, а также следить за новостями о появлении обновлений.
Смартфоны марок Ulefone и Krüger&Matz оказались уязвимы из-за критических ошибок в предустановленных приложениях, которые позволяют любому установленному на устройстве ПО сбросить его до заводских настроек или получить доступ к функциям шифрования приложений. Обнаруженные уязвимости угрожают безопасности пользователей, так как атака не требует прав суперпользователя или вмешательства владельца смартфона.
Сразу три уязвимости получили свои идентификаторы: CVE-2024-13915 и CVE-2024-13916 с оценкой 6,9 балла по шкале CVSS, а также CVE-2024-13917 , оценённая как наиболее опасная — 8,3 балла. Все они связаны с предустановленными программами «com.pri.factorytest» и «com.pri.applock», которые входят в стандартный набор ПО на моделях Ulefone и Krüger&Matz.
В первом случае сервис «com.pri.factorytest.emmc.FactoryResetService» даёт возможность любому стороннему приложению инициировать полный сброс устройства до заводского состояния. Таким образом, злоумышленник может уничтожить все пользовательские данные и вернуть смартфон к исходному виду без подтверждения владельца.
Вторая уязвимость затрагивает функцию шифрования приложений с помощью PIN-кода или биометрии. Оказалось, что компонент «com.android.providers.settings.fingerprint.PriFpShareProvider», реализованный внутри приложения «com.pri.applock», открывает метод «query()», который позволяет стороннему приложению получить PIN-код, используемый для доступа к защищённым программам.
Наиболее критическая проблема — это возможность внедрения произвольного системного намерения (intent) с привилегиями уровня системы в защищённое приложение через активность «com.pri.applock.LockUI». Для её эксплуатации злоумышленнику необходимо знать PIN-код, однако эту преграду легко обойти, если объединить эксплойт с предыдущей уязвимостью, позволяющей извлечь сам PIN.
Ответственность за обнаружение и ответственное раскрытие данных уязвимостей взяла на себя команда CERT Polska. Автором находок стал Сымон Хадам. В настоящее время нет точной информации о статусе исправления ошибок производителями — Ulefone и Krüger&Matz получили уведомления, но не сообщили о мерах по устранению угрозы.
Инцидент показывает, что даже на новых устройствах, где пользователи надеются на безопасность благодаря свежей версии ОС и продвинутым настройкам защиты, уязвимости в предустановленных сервисах могут открыть двери для атак и утечки личных данных. Специалисты рекомендуют внимательно относиться к безопасности предустановленного ПО, а также следить за новостями о появлении обновлений.