Vulnerabilidad en Sharp Rouvo V (CVE-2023-38302)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
22/04/2024
Última modificación:
27/03/2025
Descripción
Cierta compilación de software para el dispositivo Sharp Rouvo V (SHARP/VZW_STTM21VAPP/STTM21VAPP:12/SP1A.210812.016/1KN0_0_530:user/release-keys) filtra la dirección MAC de Wi-Fi y la dirección MAC de Bluetooth a las propiedades del sistema a las que se puede acceder por cualquier aplicación local en el dispositivo sin ningún permiso o privilegio especial. Google restringió que las aplicaciones de terceros obtengan directamente identificadores de dispositivos no reiniciables en Android 10 y versiones posteriores, pero en este caso se filtran mediante un proceso de alto privilegio y se pueden obtener indirectamente. Esta aplicación maliciosa lee la propiedad del sistema "ro.boot.wifi_mac" para obtener indirectamente la dirección MAC de Wi-Fi y lee la propiedad del sistema "ro.boot.bt_mac" para obtener la dirección MAC de Bluetooth.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://media.defcon.org/DEF%20CON%2031/DEF%20CON%2031%20presentations/Ryan%20Johnson%20Mohamed%20Elsabagh%20Angelos%20Stavrou%20-%20Still%20Vulnerable%20Out%20of%20the%20Box%20Revisiting%20the%20Security%20of%20Prepaid%20Android%20Carrier%20Devices.pdf
- https://media.defcon.org/DEF%20CON%2031/DEF%20CON%2031%20presentations/Ryan%20Johnson%20Mohamed%20Elsabagh%20Angelos%20Stavrou%20-%20Still%20Vulnerable%20Out%20of%20the%20Box%20Revisiting%20the%20Security%20of%20Prepaid%20Android%20Carrier%20Devices.pdf