Vulnerabilidad en los dispositivos BLU R1 HD con software Shanghai Adups (CVE-2016-10137)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
13/01/2017
Última modificación:
20/04/2025
Descripción
Se descubrió un problema en los dispositivos BLU R1 HD con software Shanghai Adups. El proveedor de contenido denominado com.adups.fota.sysoper.provider.InfoProvider en la aplicación con un nombre de paquete com.adups.fota.sysoper permite a cualquier aplicación en el dispositivo leer, escribir y eliminar archivos como usuario de sistema. En el archivo AndroidManifest.xml de la aplicación com.adups.fota.sysoper establece el atributo android:sharedUserId en un valor android.uid.system que lo ejecuta como un usuario del sistema, el cual es un usuario muy privilegiado en el dispositivo. Esto permite que a una aplicación de terceros leer, escribir y eliminar los mensajes de texto enviados y recibidos del usuario y el registro de llamadas. Esto permite que una aplicación de terceros obtenga PII del usuario sin permiso para hacerlo.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:adups:adups_fota:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/96852
- https://www.kryptowire.com/adups_security_analysis.html
- https://www.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html
- http://www.securityfocus.com/bid/96852
- https://www.kryptowire.com/adups_security_analysis.html
- https://www.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html