近日，HackerNews报道了Ulefone和Krüger&Matz安卓设备中预装应用存在的严重安全漏洞。这些漏洞包括允许任意应用触发恢复出厂设置、窃取用户PIN码以及注入具备系统级权限的恶意意图。其中，CVE-2024-13917漏洞结合CVE-2024-13916的PIN码窃取能力，可形成完整的攻击链，对用户数据安全构成严重威胁。波兰计算机应急响应中心（CERT Polska）已披露这些漏洞，但厂商的修复状态尚不明确。

⚠️CVE-2024-13915: Ulefone和Krüger&Matz设备预装的“com.pri.factorytest”应用暴露出“com.pri.factorytest.emmc.FactoryResetService”服务，允许任意已安装应用执行设备恢复出厂设置，这使得恶意应用可以轻易地将设备恢复到出厂设置，导致用户数据丢失。

🔑CVE-2024-13916: Krüger&Matz设备预装的“com.pri.applock”应用存在缺陷，其内容提供器的“query()”方法允许恶意应用窃取用户设置的PIN码。该PIN码用于通过生物识别或手动输入加密任意应用，一旦被窃取，用户的应用加密保护将形同虚设。

🛡️CVE-2024-13917: 同款应用暴露的“com.pri.applock.LockUI”活动界面，使恶意应用无需系统权限即可向受保护应用注入具备系统级权限的任意意图。这意味着恶意应用可以绕过安全防护，执行未经授权的操作，进一步威胁用户数据安全。

🔗 漏洞组合攻击:虽然利用CVE-2024-13917需要知道PIN码，但结合CVE-2024-13916的PIN窃取能力，可形成完整的攻击链，使得攻击者能够完全控制设备并窃取用户敏感信息。

HackerNews 编译，转载请注明出处：

预装应用曝高危漏洞！Ulefone与Krüger&Matz安卓设备存在三项安全缺陷，可致任意应用触发恢复出厂设置及加密应用。漏洞详情如下：

CVE-2024-13915（CVSS评分6.9）
Ulefone与Krüger&Matz设备预装的“com.pri.factorytest”应用暴露“com.pri.factorytest.emmc.FactoryResetService”服务，允许任意已安装应用执行设备恢复出厂设置。

CVE-2024-13916（CVSS评分6.9）
Krüger&Matz设备预装的“com.pri.applock”应用存在缺陷，其内容提供器的“query()”方法（路径：com.android.providers.settings.fingerprint.PriFpShareProvider）允许恶意应用窃取用户设置的PIN码——该PIN码本用于通过生物识别或手动输入加密任意应用。

CVE-2024-13917（CVSS评分8.3）
同款应用暴露的“com.pri.applock.LockUI”活动界面，使恶意应用无需系统权限即可向受保护应用注入具备系统级权限的任意意图。

虽然利用CVE-2024-13917需知晓PIN码，但结合CVE-2024-13916的PIN窃取能力可形成完整攻击链。波兰计算机应急响应中心（CERT Polska）披露漏洞并致谢研究员Szymon Chadam，目前厂商修复状态尚不明确。The Hacker News已联系涉事企业，将及时更新进展。

 

 

 

---

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文