Vulnerabilidades em apps pré-instalados da Ulefone e Krüger&Matz permitem RCE, factory reset, privilege escalation e roubo de PIN

Três vulnerabilidades de segurança severas foram descobertas em aplicativos Android pré-instalados em smartphones das marcas Ulefone e Krüger&Matz. As falhas permitem que qualquer aplicativo instalado nesses dispositivos realize ações críticas como redefinição de fábrica, acesso ao PIN de bloqueio e execução de comandos com privilégios elevados — tudo isso sem as permissões normalmente exigidas pelo sistema Android.

As vulnerabilidades, identificadas pelos códigos CVE-2024-13915, CVE-2024-13916 e CVE-2024-13917, foram detalhadas pelo CERT Polska e atribuídas ao pesquisador de segurança Szymon Chadam. A mais grave, com pontuação CVSS de 8,3, está no aplicativo com.pri.applock, que permite que qualquer app malicioso injete comandos em aplicativos protegidos como se tivesse privilégios de sistema. Ainda mais preocupante é o fato de que essa falha pode ser explorada em conjunto com a CVE-2024-13916, que possibilita a extração do PIN do usuário — uma combinação que abre caminho para ataques sofisticados e de alto impacto.

Já a falha CVE-2024-13915 afeta diretamente o aplicativo com.pri.factorytest, exposto nos aparelhos das duas marcas. Ela permite que qualquer app executado no dispositivo acione remotamente uma redefinição de fábrica, potencialmente apagando dados e removendo rastros de intrusões. A CVE-2024-13916, por sua vez, explora a forma como o PIN ou dados biométricos são utilizados para proteger aplicativos, permitindo que um invasor já presente no sistema vaze essa informação sensível por meio de um provedor de conteúdo mal configurado.

Até o momento, não há confirmação oficial por parte das fabricantes sobre a aplicação de correções.

Via - THN