Ulefone ve Krüger & Matz’den akıllı telefonlardaki önceden yüklenmiş Android uygulamalarında, cihaza yüklü herhangi bir uygulamanın bir fabrika sıfırlama yapmasını ve bir uygulamayı şifrelemesini sağlayabilecek üç güvenlik açıklaması açıklanmıştır.
Üç kusurun kısa bir açıklaması aşağıdaki gibidir –
- CVE-2024-13915 (CVSS Puanı: 6.9) – Ulefone ve Krüger & Matz akıllı telefonlarda önceden yüklenmiş bir “com.pri.factorytest” uygulaması, herhangi bir yüklenen uygulamanın cihazın bir fabrika sıfırlamasını gerçekleştirmesine izin veren bir “com.pri.factorytest.emmc.factoryresservice” hizmeti ortaya koyar.
- CVE-2024-13916 (CVSS Puanı: 6.9)-Kruger & Matz akıllı telefonlarda önceden yüklenmiş bir “com.pri.applock” uygulaması, bir kullanıcının kullanıcı tarafından sağlanan pin kodunu kullanarak veya biyometrik verileri kullanarak herhangi bir uygulamayı şifrelemesine olanak tanır. Uygulama ayrıca bir “com.android.providers.settings.fingerprint.prifpShareprovider” içerik sağlayıcısının “query ()” yöntemi, cihaza zaten yüklenmiş herhangi bir kötü amaçlı uygulamanın pin kodunu ekspiltrasyona izin vermesine izin veren “query ()” yöntemi açığa çıkarır.
- CVE-2024-13917 (CVSS Puanı: 8.3)-Kruger & Matz akıllı telefonlara önceden yüklenmiş bir “com.pri.applock” uygulaması, herhangi bir kötü niyetli uygulamaya izin veren bir “com.pri.applock.lockui” etkinliği, herhangi bir android sistem izni olmadan, korunan bir uygulamaya sistem-düzgün bir imtiyazla enjekte etti.
CVE-2024-13917’den yararlanmak, bir düşmanın korunan pim numarasını bilmesi gerekirken, pin kodunu sızdırmak için CVE-2024-13916 ile zincirlenebilir.
Güvenlik açıklarını detaylandıran Cert Polska, Szymon Chadam’a sorumlu bir şekilde ifşa ettiği için kredilendirdi. Ancak, bu kusurların kesin yama durumu belirsizliğini korumaktadır. Hacker News, ek yorum için hem Ulefone hem de Krüger & Matz’a ulaştı ve tekrar duyarsak hikayeyi güncelleyeceğiz.
Bu makaleyi ilginç mi buldunuz? Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.