CERT Polska, czyli jednostka odpowiedzialna za cyberbezpieczeństwo naszego kraju, ma złą wiadomość dla miłośników tanich smartfonów. Chodzi o różne modele marek Ulefone oraz Krüger&Matz. Zainstalowane na nich fabrycznie aplikacje są podatne na ataki. CERT Polska otrzymał i zbadał zgłoszenie, a następnie koordynował ujawnienie informacji o lukach w zabezpieczeniach.
Ulefone i Krüger&Matz podatne na ataki
Na smartfonach marki Ulefone i Krüger&Matz lukę znaleziono w aplikacji com.pri.factorytest, w wersji 1.0 code 1. To aplikacja instalowana fabrycznie przez producenta przy wgrywaniu oprogramowania. Podatność została oznaczona jako CVE-2024-13915.
Aplikacja ta wykonuje nieprawidłowy eksport komponentów. Konkretnie chodzi o udostępnienie usługi com.pri.factorytest.emmc.FactoryResetService. Jak wskazuje nazwa, służy ona do resetu ustawień urządzenia. Problem w tym, że przez błąd każda zainstalowana aplikacja może przywrócić telefon do stanu fabrycznego.
Ulefone wydał aktualizację w grudniu 2024 roku. Nowa wersja aplikacji także ma numer 1.0, co może być mylące. Nie ma niestety informacji o tym, czy Krüger&Matz także zadbał o zabezpieczenie swoich smartfonów.
Pozostałe dwie luki zostały znalezione tylko na smartfonach Krüger&Matz. Ta oznaczona jako CVE-2024-13916 występuje w aplikacji com.pri.applock. To apka umożliwiająca szyfrowanie dowolnych aplikacji z użyciem kodu PIN i danych biometrycznych.
Niestety ta aplikacja jest odpowiedzialna także za ujawnianie wrażliwych informacji systemowych aplikacjom, które nie powinny mieć do nich dostępu. Złośliwa aplikacja może skorzystać z publicznej metody systemowej kodu PIN, używanego do szyfrowania danych na urządzeniu. Przy tym aplikacja używana do przeprowadzenia ataku nie musi mieć szczególnych uprawnień.
Luka opisana jako CVE-2024-13917 znajduje się w tej samej aplikacji. Obecność błędu powoduje udostępnienie procesu com.pri.applock.LockUI innym aplikacjom, nawet nieposiadającym wyższych uprawnień systemowych. Za jego pośrednictwem dowolna aplikacja zainstalowana na smartfonie może wstrzyknąć szkodliwe dane do chronionej aplikacji z wysokimi uprawnieniami systemowymi. Wystarczy tylko znać kod PIN… który można uzyskać z wykorzystaniem luki opisanej wyżej albo uzyskać od użytkownika innym sposobem (choćby patrząc mu przez ramię w czasie odblokowywania zaszyfrowanej aplikacji).
Producent nie udostępnił żadnych informacji o tym, jakie wersje aplikacji com.pri.applock mają opisaną lukę. Eksperci sprawdzili tylko wydanie oznaczone numerem 13 (code 33). To oraz brak informacji o aktualizacji stawia markę Krüger&Matz w bardzo niekorzystnym świetle. Zdecydowanie brakuje tu transparentności działania.
CERT Polska nie informuje o tym wprost, ale sprawa wygląda, jakby Krüger&Matz odmówił współpracy przy zapewnieniu użytkownikom wyższego poziomu bezpieczeństwa. Ulefone podszedł do sprawy znacznie lepiej.