Vulnerabilidad en una aplicación de plataforma preinstalada con un nombre de paquete com.lovelyfont.defcontainer (CVE-2019-15389)

El dispositivo Coolpad 1851 Android con una huella digital de compilación de Coolpad/android/android:8.1.0/O11019/1534834761:userdebug/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete com.lovelyfont.defcontainer (versionCode=7, versionName=7.1.13). Esta aplicación contiene un servicio exportado llamado com.lovelyfont.manager.FontCoverService que permite a cualquier aplicación ubicada en el dispositivo suministrar comandos arbitrarios para ser ejecutados como usuario del sistema. Esta aplicación no puede ser deshabilitada por parte del usuario y el ataque puede ser realizado por una aplicación de permiso cero. Además de la superficie de ataque local, su aplicación que lo acompaña con un nombre de paquete de com.ekesoo.lovelyhifonts realiza peticiones de red utilizando HTTP y un atacante puede realizar un ataque de tipo Man-in-the-Middle (MITM) sobre la conexión para inyectar un comando en una respuesta de red que será ejecutada como usuario del sistema por la aplicación com.lovelyfont.defcontainer. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros grabar en video la pantalla del usuario, restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la interfaz gráfica de usuario (GUI) y obtener mensajes de texto del usuario y más. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la GUI, cambiar el Input Method Editor (IME) predeterminado (p. Ej., Teclado) con un contenido dentro de la aplicación de ataque que contiene la funcionalidad keylogging, y obtener los mensajes de texto del usuario, y más.