Vulnerabilidades

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none

El dispositivo Android Sky Elite 6.0L+ con una huella digital SKY/x6069_trx_l601_sky/x6069_trx_l601_sky:6.0/MRA58K/1482897127:user/release-keys contiene una aplicación preinstalada de la plataforma, cuyo paquete se denomina com.fw.upgrade.sysoper (versionCode=238, versionName=2.3.8) con un componente de app de recibidor de transmisiones exportado llamado com.adups.fota.sysoper.WriteCommandReceiver que permite que cualquier app que también esté en el dispositivo proporcione comandos arbitrarios para que sean ejecutados como el usuario del sistema. La app com.fw.upgrade.sysoper no puede ser deshabilitada por el usuario y el ataque puede realizarse por medio de una app con cero permisos. La ejecución de comandos como usuario del sistema puede permitir que una app de terceros grabe en vídeo la pantalla del usuario, restaure de fábrica el dispositivo, obtenga las notificaciones de usuario, lea los registros logcat, inyecte eventos en la interfaz gráfica de usuario, cambie el editor de métodos de entrada (IME) por defecto (como el teclado) por uno contenido en la aplicación atacante que contiene funciones de registro de tecleo, obtenga los mensajes de texto del usuario, y más.

El dispositivo Android Vivo V7 con una huella digital de vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys contiene una app de plataforma con un nombre de paquete com.vivo.bsptest (versionCode=1, versionName=1.0) que contiene un componente de app de actividad exportado llamado com.vivo.bsptest.BSPTestActivity que permite que cualquier app ubicada en el dispositivo inicie la escritura de los registros logcat, bluetooth y kernel en el almacenamiento externo. Cuando los registros están habilitados, hay una notificación en la barra de estado, por lo que no es completamente transparente para el usuario. El usuario puede cancelar el registro, pero puede rehabilitarse, ya que la app de nombre com.vivo.bsptest no puede deshabilitarse. La escritura de estos registros puede ser iniciada por una app ubicada en el dispositivo, aunque el permiso READ_EXTERNAL_STORAGE es necesario para que una app acceda a los archivos de registro.

El dispositivo Vivo V7 con una huella digital de vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys permite que cualquier app ubicada en el dispositivo establezca propiedades del sistema como el usuario com.android.phone. La app com.qualcomm.qti.modemtestmode (versionCode=25, versionName=7.1.2) que contiene un servicio exportado llamado com.qualcomm.qti.modemtestmode.MbnTestService permite que cualquier app ubicada en el dispositivo proporcione pares de valores de clave para configurar ciertas propiedades del sistema. Notablemente, las propiedades del sistema con el prefijo persist.* pueden configurarse, lo que sobrevivirá a un reinicio. En el dispositivo Vivo V7, cuando la propiedad persist.sys.input.log está configurada para que tenga un valor "yes", los toques en la pantalla del usuario se escriben en el registro logcat por el InputDispatcher para todas las apps. El registro del sistema logcat puede ser obtenido desde el almacenamiento externo mediante otra vulnerabilidad conocida en el dispositivo. El permiso READ_EXTERNAL_STORAGE es necesario para acceder a los archivos de registro que contienen las coordenadas de toque del usuario. Con algún esfuerzo, las coordenadas de toque del usuario pueden mapearse a pulsaciones de tecla en un teclado.

El dispositivo Coolpad Canvas con una huella digital de Coolpad/cp3636a/cp3636a:7.0/NRD90M/093031423:user/release-keys contiene una app de plataforma con un nombre de paquete com.qualcomm.qti.modemtestmode (versionCode=24, versionName=7.0) que contiene un componente de app de servicio exportado llamado com.qualcomm.qti.modemtestmode.MbnTestService que permite que cualquier app del dispositivo establezca ciertas propiedades del sistema como el usuario com.android.phone. Cuando una app establece la propiedad del sistema persist.service.logr.enable con un valor de 1, una app con un nombre de paquete com.yulong.logredirect (versionCode=20160622, versionName=5.25_20160622_01) comenzará a escribir el registro del sistema logcat, el registro del kernel y la captura de tráfico de red tcpdump en el almacenamiento externo. Además, en el dispositivo Coolpad Canvas, la app com.android.phone escribe el número de teléfono de destino y el cuerpo del mensaje de texto para los mensajes de texto salientes. Se puede evitar una notificación al registrar si el registro está habilitado tras el arranque del dispositivo y se deshabilita antes de apagarlo estableciendo las propiedades del sistema mediante la interfaz exportada de la app com.qualcomm.qti.modemtestmode. Cualquier app con el permiso READ_EXTERNAL_STORAGE puede acceder a los archivos de registro.

El dispositivo Android ZTE Blade Vantage con una huella digital de ZTE/Z839/sweet:7.1.1/NMF26V/20180120.095344:user/release-keys, el dispositivo Android ZTE Blade Spark con una huella digital de ZTE/Z971/peony:7.1.1/NMF26V/20171129.143111:user/release-keys, el dispositivo Android ZTE ZMAX Pro con una huella digital de ZTE/P895T20/urd:6.0.1/MMB29M/20170418.114928:user/release-keys y el dispositivo Android ZTE ZMAX Champ con una huella digital de ZTE/Z917VL/fortune:6.0.1/MMB29M/20170327.120922:user/release-keys contienen una app de plataforma preinstalada con un nombre de paquete com.android.modem.service (versionCode=25, versionName=7.1.1; versionCode=23, versionName=6.0.1) que exporta una interfaz a cualquier app ubicada en el dispositivo. Mediante la interfaz exportada de la app com.android.modem.service, cualquier app puede habilitar y obtener ciertos archivos de registro (modem y logcat) sin los correspondientes permisos de acceso apropiados. Los registros modernos contienen el número de teléfono y el cuerpo de texto completo de los mensajes de texto entrantes y salientes en formato binario. Además, el registro modem contiene los números de teléfono para las llamadas telefónicas entrantes y salientes. Los registros logcat del sistema (los que se obtienen mediante el binario logcat) suelen contener datos sensibles de usuario. Las aplicaciones de terceros no pueden leer directamente los registros logcat del sistema. La capacidad de leer desde los registros logcat del sistema solo está disponible para las apps del sistema preinstaladas y las apps de la plataforma. El registro modem y/o el logcat, una vez activados, se escriben en el almacenamiento externo (tarjeta SD). Una app que sea consciente de esta vulnerabilidad puede habilitar los registros, analizarlos en busca de datos relevantes y exfiltrarlos desde el dispositivo. Por defecto, los registros modem y logcat están inactivos, pero una app de terceros sin permisos puede activarlos, aunque la app tendrá que contar con el permiso READ_EXTERNAL_STORAGE para acceder a ellos.

El dispositivo Android Leagoo Z5C con una huella digital sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.android.messaging (versionCode=1000110, versionName=1.0.001, (android.20170630.092853-0)) con un proveedor de contenidos exportado llamado com.android.messaging.datamodel.MessagingContentProvider. Cualquier app que esté en el dispositivo puede leer el mensaje de texto más reciente de cada conversación. En otras palabras, para cada número de teléfono al que el usuario haya enviado o recibido un mensaje de texto, una aplicación de terceros sin permisos puede obtener el cuerpo del mensaje de texto, el número de teléfono, el nombre del contacto (si existe) y una marca de tiempo para el mensaje de texto más reciente de cada conversación. Como la consulta del componente de la app de provisión de contenidos puede realizarse silenciosamente en segundo plano, una app maliciosa puede monitorizar continuamente el proveedor de contenidos para comprobar si el mensaje actual en cada conversación ha cambiado para obtener nuevos mensajes de texto.

El dispositivo Android MXQ TV Box 4.4.2 con una huella digital de MBX/m201_N/m201_N:4.4.2/KOT49H/20160106:user/test-keys contiene el framework de Android con un nombre de paquete android (versionCode=19, versionName=4.4.2-20170213) que contiene un componente de app de recepción de transmisiones que, cuando se llama, hace que el dispositivo deje de ser operable. El componente vulnerable, llamado com.android.server.SystemRestoreReceiver, escribirá un valor de --restore_system\n--locale=

El dispositivo Android ASUS ZenFone 3 Max con una huella digital asus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.asus.loguploader (versionCode=1570000275, versionName=7.0.0.55_170515). Esta app contiene un componente de app de servicio exportada llamado com.asus.loguploader.LogUploaderService que, al accederse a él con una cadena de acción determinada, escribirá un informe de errores (registro del kernel, registro logcat y el estado de los servicios del sistema, incluyendo el texto de las notificaciones activas), las contraseñas de wifi y otros datos del sistema en el almacenamiento externo (tarjeta SD). Cualquier app con el permiso READ_EXTERNAL_STORAGE en este dispositivo puede leer estos datos desde la tarjeta SD una vez han sido volcados ahí por com.asus.loguploader. Las aplicaciones de terceros no pueden crear directamente un informe de errores o acceder a las credenciales de red inalámbrica almacenadas del usuario.

El dispositivo Android Leagoo Z5C con una huella digital sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.android.messaging (versionCode=1000110, versionName=1.0.001, (android.20170630.092853-0)) con un componente de app de recepción de transmisiones exportada llamado com.android.messaging.trackersender.TrackerSender. Cualquier app que también esté en el dispositivo, incluso aunque no tenga permisos, puede enviar un intent de transmisión con ciertos datos embebidos al componente de la aplicación de recepción de transmisiones exportada que resultará en el envío programático de un mensaje de texto en el que el número de teléfono y el cuerpo del mensaje de texto están controlados por el atacante.