CERT Polska opublikowało informację o podatnościach w aplikacjach, które są fabrycznie zainstalowane na smartfonach polskiej marki. Jedną znaleziono również na urządzeniach obecnego także w Polsce producenta.
Niebezpieczne podatności odkryte w oprogramowaniu smartfonów polskiej marki (i nie tylko)
W oprogramowaniu smartfonów polskiej marki Kruger&Matz ujawniono trzy podatności o oznaczeniu CVE-2024-13915, CVE-2024-13916 i CVE-2024-13917. Pierwszą z nich zlokalizowano również w urządzeniach chińskiej marki Ulefone, która sprzedaje swoje sprzęty także w Polsce.
Pierwsza z podatności – CVE-2024-13915 – jest związana z aplikacją com.pri.factorytest, która jest instalowana fabrycznie podczas produkcji. Udostępnia ona usługę com.pri.factorytest.emmc.FactoryResetService, która umożliwia dowolnej aplikacji uruchomienie funkcji przywrócenia ustawień fabrycznych urządzenia. CERT Polska podaje, że zaktualizowana aplikacja nie ma wyższej wersji, jednak została dołączona do wydań systemu operacyjnego datowanych po grudniu 2024 roku w przypadku Ulefone i najprawdopodobniej po marcu 2025 roku w przypadku Kruger&Matz.
Druga podatność – CVE-2024-13916 – dotyczy aplikacji com.pri.applock, która także jest fabrycznie instalowana na smartfonach polskiej marki i umożliwia szyfrowanie dowolnych aplikacji za pomocą kodu PIN lub danych biometrycznych. Według CERT Polska publiczna metoda „query()” udostępniona przez dostawcę treści com.android.providers.settings.fingerprint.PriFpShareProvider umożliwia złośliwej aplikacji, nieposiadającej żadnych uprawnień systemowych Androida, pozyskanie kodu PIN.
Trzecia podatność CVE-2024-13917 również jest związana z aplikacją com.pri.applock. CERT Polska ostrzega, że udostępniona aktywność com.pri.applock.LockUI pozwala dowolnej złośliwej aplikacji, nieposiadającej żadnych uprawnień systemowych Androida, wstrzyknąć dowolny intent do chronionej aplikacji z uprawnieniami systemowymi.
Dobra wiadomość jest taka, że do wykorzystania tej podatności konieczna jest znajomość kodu PIN. Zła natomiast, że można go poznać, wykorzystując podatność CVE-2024-13916.
Co powinni zrobić właściciele smartfonów marki Kruger&Matz oraz Ulefone?
Przede wszystkim nie wpadać w panikę, ponieważ istnieje relatywnie niewielkie prawdopodobieństwo, że ktokolwiek wykorzysta opisane powyżej podatności. W tym miejscu warto podkreślić, że zgłosił je CERT Polska Szymon Chadam.
Mimo wszystko prawdopodobieństwo jest i nie należy bagatelizować tego zagrożenia. Użytkownicy mają prawo oczekiwać od producentów reakcji i udostępnienia aktualizacji, która uniemożliwi wykorzystanie odkrytych podatności.
Zapytałem przedstawicieli obu marek o to, czy zamierzają jakkolwiek zareagować. Odpowiedzi od Ulefone wciąż nie otrzymałem, natomiast dostałem ją od Kruger&Matz.
Producent przekazał, że jest świadomy opisanej sytuacji i zareagował „niezwłocznie” po otrzymaniu pierwszych sygnałów. Na przełomie kwietnia i maja 2025 roku udostępnił aktualizację OTA, która eliminuje przywoływane w artykule podatności. Jest ona „sukcesywnie” wdrażana na wszystkich urządzeniach, których problem dotyczył.
To nie pierwszy problem smartfonów Kruger&Matz
Przy okazji warto zauważyć, że to nie pierwszy raz, kiedy urządzenia polskiej marki są stawiane w złym świetle. W grudniu 2024 roku Urząd Komunikacji Elektronicznej opublikował wyniki kontroli, która ujawniła, że w przypadku telefonu Kruger&Matz Simple i smartfona Live 10S nie przekazano informacji o zakresie częstotliwości oraz maksymalnej mocy częstotliwości radiowej, w jakich pracuje urządzenie radiowe.
