Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el dispositivo Android Leagoo Z5C (CVE-2018-14987)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/12/2018
Última modificación:
24/08/2020

Descripción

El dispositivo Android MXQ TV Box 4.4.2 con una huella digital de MBX/m201_N/m201_N:4.4.2/KOT49H/20160106:user/test-keys contiene el framework de Android con un nombre de paquete android (versionCode=19, versionName=4.4.2-20170213) que registra dinámicamente un componente de app de recepción de transmisiones llamado com.android.server.MasterClearReceiver, en lugar de registrarlo estáticamente en el archivo AndroidManifest.xml del paquete core de Android, tal y como se realiza en el código de Android Open Source Project (AOSP) para Android 4.4.2. El registro dinámico del componente de app de recepción de transmisiones MasterClearReceiver no está protegido con el permiso android.permission.MASTER_CLEAR durante el registro, por lo que cualquier app que esté en el dispositivo, incluso las que no tienen permisos, pueden iniciar programáticamente un reinicio de fábrica del dispositivo. Una restauración de fábrica eliminará todos los datos y aplicaciones del usuario del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido sincronizado externamente o del que no tenga una copia de seguridad. La capacidad para realizar una restauración de fábrica no está directamente disponible para aplicaciones de terceros (las que los usuarios instalan por sí mismos, exceptuando las aplicaciones habilitadas MDM, o de gestión del dispositivo móvil), aunque puede obtenerse aprovechando un componente sin proteger de un proceso core de Android.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:mxq_project:mxq_tv_box_firmware:4.4.2:*:*:*:*:*:*:*
cpe:2.3:h:mxq_project:mxq_tv_box:-:*:*:*:*:*:*:*