Vulnerabilidad en Android BLU View 2 y Sharp Rouvo V (CVE-2023-38290)

Ciertas versiones de software para los dispositivos Android BLU View 2 y Sharp Rouvo V contienen una aplicación preinstalada vulnerable con un nombre de paquete com.evenwell.fqc (versionCode='9020801', versionName='9.0208.01'; versionCode='9020913 ', versionName='9.0209.13' ; versionCode='9021203', versionName='9.0212.03') que permite que aplicaciones locales de terceros ejecuten comandos de shell arbitrarios en su contexto (usuario del sistema) debido a un control de acceso inadecuado. No se necesitan permisos ni privilegios especiales para explotar la vulnerabilidad en la aplicación com.evenwell.fqc. No se requiere ninguna interacción del usuario más allá de instalar y ejecutar una aplicación de terceros. La vulnerabilidad permite que las aplicaciones locales accedan a funciones confidenciales que generalmente están restringidas a aplicaciones preinstaladas, como realizar mediante programación las siguientes acciones: otorgar permisos arbitrarios (que pueden usarse para obtener datos confidenciales del usuario), instalar aplicaciones arbitrarias, grabar videos de la pantalla, borrar el dispositivo (eliminar las aplicaciones y los datos del usuario), inyectar eventos de entrada arbitrarios, llamar a números de teléfono de emergencia, deshabilitar aplicaciones, acceder a notificaciones y mucho más. Las huellas digitales de compilación de software para cada dispositivo vulnerable confirmado son las siguientes: BLU View 2 (BLU/B131DL/B130DL:11/RP1A.200720.011/1672046950:user/release-keys, BLU/B131DL/B130DL:11/RP1A.200720.011/1663816427:user/release-keys, BLU/B131DL/B130DL:11/RP1A.200720.011/1656476696:user/release-keys, BLU/B131DL/B130DL:11/RP1A.200720.011/1647856638:user/release-keys) y Sharp Rouvo V (SHARP/VZW_STTM21VAPP/STTM21VAPP:12/SP1A.210812.016/1KN0_0_460:user/release-keys and SHARP/VZW_STTM21VAPP/STTM21VAPP:12/SP1A.210812.016/1KN0_0_530:user/release-keys). Esta aplicación maliciosa inicia una actividad exportada llamada com.evenwell.fqc/.activity.ClickTest, bloquea la aplicación com.evenwell.fqc enviando un Intent vacío (es decir, sin extras) al receptor com.evenwell.fqc/.FQCBroadcastReceiver componente, y luego envía comandos de shell arbitrarios al componente de servicio com.evenwell.fqc/.FQCService que los ejecuta con privilegios de "sistema".