Смартфоните на Ulefone и Krüger&Matz са уязвими поради критични уязвимости в предварително инсталираните приложения, които позволяват на всеки софтуер, инсталиран на устройството да го върне към фабричните настройки или да получи достъп до функциите за криптиране на приложенията. Откритите уязвимости застрашават сигурността на потребителите, тъй като атаката не изисква root права или намеса на собственика на смартфона.

Става дума за три уязвимости с идентификатори: CVE-2024-13915, CVE-2024-13916 с оценки 6,3 по скалата CVSS и CVE-2024-13917, оценена като най-опасна – с оценка 8,3. Всички те са свързани с предварително инсталираните програми „com.pri.factorytest“ и „com.pri.applock“, които са включени в стандартния софтуерен пакет на моделите на Ulefone и Krüger&Matz.

В първия случай услугата „com.pri.factorytest.emmc.FactoryResetService“ позволява на всяко приложение от трета страна да инициира пълно възстановяване на фабричните настройки на устройството. По този начин нападателят може да унищожи всички потребителски данни и да върне смартфона в първоначалното му състояние без потвърждение от страна на собственика.

Втората уязвимост засяга функцията за криптиране на приложения, използващи ПИН код или биометрични данни. Оказва се, че компонентът „com.android.providers.settings.fingerprint.PriFpShareProvider“, реализиран в приложението „com.pri.applock“ отваря метода „query()“, което позволява на приложение от трета страна да получи ПИН кода, използван за достъп до защитените приложения.

Най-критичният проблем е възможността за инжектиране на произволно системно намерение с привилегии на системно ниво в защитено приложение чрез дейността на „com.pri.applock.LockUI“.

За да се възползва от уязвимостта, нападателят трябва да знае ПИН кода, но това лесно се заобикаля чрез комбиниране на експлойта с предишната уязвимост, която позволява извличането на самия ПИН код.

Екипът на CERT Polska е отговорен за откриването и отговорното оповестяване на тези уязвимости. Автор на констатациите е Симон Хадам. Към момента няма точна информация за състоянието на отстраняване на уязвимостите от производителите – Ulefone и Krüger&Matz са получили уведомления, но не са съобщили за предприетите мерки за отстраняване на заплахата.

Инцидентът показва, че дори при новите устройства, където потребителите се надяват на сигурност благодарение на свежата версия на операционната система и разширените настройки за сигурност, уязвимостите в предварително инсталираните услуги могат да отворят вратата за атаки и изтичане на лични данни. Експертите препоръчват да се обръща голямо внимание на сигурността на предварително инсталирания софтуер, както и да се следи за нови актуализации.