Tiga kerentanan keamanan telah diungkapkan dalam aplikasi Android yang dimuat sebelumnya pada smartphone dari Ulefone dan Krüger & Matz yang dapat memungkinkan aplikasi apa pun yang diinstal pada perangkat untuk melakukan reset pabrik dan mengenkripsi aplikasi.
Deskripsi singkat tentang tiga kekurangan adalah sebagai berikut –
- CVE-2024-13915 (Skor CVSS: 6.9) – Aplikasi “com.pri.factorytest” yang sudah diinstal pada smartphone Ulefone dan Krüger & Matz memperlihatkan layanan “com.pri.factorytest.emmc.factoryResetService yang memungkinkan aplikasi yang diinstal untuk melakukan reset pabrik.
- CVE-2024-13916 (Skor CVSS: 6.9)-Aplikasi “COM.PRI.Applock” yang sudah diinstal sebelumnya pada smartphone Kruger & Matz memungkinkan pengguna untuk mengenkripsi aplikasi apa pun menggunakan kode pin yang disediakan pengguna atau dengan menggunakan data biometrik. Aplikasi ini juga mengekspos “com.android.providers.settings.fingerprint.prifpshareprovider” penyedia konten “kueri ()” metode yang memungkinkan aplikasi berbahaya yang sudah diinstal pada perangkat dengan beberapa cara lain untuk mengeluarkan kode pin.
- CVE-2024-13917 (Skor CVSS: 8.3)-Aplikasi “com.pri.applock” yang sudah dipasang sebelumnya pada smartphone Kruger & Matz mengekspos aktivitas “com.pri.applock.lockui” yang memungkinkan aplikasi jahat lainnya, tanpa ada izin sistem Android yang diberikan.
Saat mengeksploitasi CVE-2024-13917 mengharuskan musuh untuk mengetahui nomor pin pelindung, itu dapat dirantai dengan CVE-2024-13916 untuk membocorkan kode pin.
Cert Polska, yang merinci kerentanan, mengkredit Szymon Chadam karena secara bertanggung jawab mengungkapkannya. Namun, status tambalan yang tepat dari kekurangan ini masih belum jelas. The Hacker News telah menjangkau Ulefone dan Krüger & Matz untuk komentar tambahan dan kami akan memperbarui cerita jika kami mendengar kembali.
