Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Ulefone and Krüger&Matz (CVE-2024-13916)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/05/2025
Última modificación:
10/06/2025

Descripción

La aplicación "com.pri.applock", preinstalada en los smartphones Krüger&Matz, permite cifrar cualquier aplicación mediante el código PIN proporcionado por el usuario o datos biométricos. El método público "query()" del proveedor de contenido "com.android.providers.settings.fingerprint.PriFpShareProvider", expuesto, permite que cualquier otra aplicación maliciosa, sin permisos del sistema Android, extraiga el código PIN. El proveedor no proporcionó información sobre las versiones vulnerables. Solo la versión (nombre de la versión: 13, código de la versión: 33) fue probada y se confirmó que presenta esta vulnerabilidad.

Referencias a soluciones, herramientas e información