Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en CVE-2018-15001 (CVE-2018-15001)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
28/12/2018
Última modificación:
07/02/2019

Descripción

El dispositivo Android Vivo V7 con una huella digital de vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys contiene una app de plataforma con un nombre de paquete com.vivo.bsptest (versionCode=1, versionName=1.0) que contiene un componente de app de actividad exportado llamado com.vivo.bsptest.BSPTestActivity que permite que cualquier app ubicada en el dispositivo inicie la escritura de los registros logcat, bluetooth y kernel en el almacenamiento externo. Cuando los registros están habilitados, hay una notificación en la barra de estado, por lo que no es completamente transparente para el usuario. El usuario puede cancelar el registro, pero puede rehabilitarse, ya que la app de nombre com.vivo.bsptest no puede deshabilitarse. La escritura de estos registros puede ser iniciada por una app ubicada en el dispositivo, aunque el permiso READ_EXTERNAL_STORAGE es necesario para que una app acceda a los archivos de registro.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:vivo:v7_firmware:1.0:*:*:*:*:*:*:*
cpe:2.3:h:vivo:v7:-:*:*:*:*:*:*:*