Vulnerabilidad en una funcionalidad dentro del SDK de Android en el paquete com.mintegral.msdk: alphab (Mintegral) (CVE-2020-7744)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
15/10/2020
Última modificación:
29/10/2020
Descripción
Esto afecta a todas las versiones del paquete com.mintegral.msdk:alphab. El SDK de Android distribuido por la empresa contiene una funcionalidad maliciosa en este módulo que rastrea: 1. Descargas desde las URL de Google ya sea dentro de las aplicaciones de Google o por medio del navegador, incluyendo las descargas de archivos, los archivos adjuntos de correo electrónico y los enlaces de Google Docs. 2. Todas las descargas de apk, ya sean orgánicas o no. Mintegral escucha los eventos de descarga en el administrador de descargas de Android y detecta si la URL del archivo descargado contiene: a. google.com o proviene de una aplicación de Google (el paquete com.android.vending) b. Termina con .apk para descargas de apk. En ambos casos, el módulo envía los datos capturados hacia los servidores de Mintegral. Tome en cuenta que la funcionalidad maliciosa sigue ejecutándose incluso si la aplicación no está actualmente enfocada (ejecutándose en segundo plano)
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mintegral:mintegraladsdk:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página