Vulnerabilidades

El dispositivo Android ZTE Blade Vantage con una huella digital de ZTE/Z839/sweet:7.1.1/NMF26V/20180120.095344:user/release-keys, el dispositivo Android ZTE Blade Spark con una huella digital de ZTE/Z971/peony:7.1.1/NMF26V/20171129.143111:user/release-keys, el dispositivo Android ZTE ZMAX Pro con una huella digital de ZTE/P895T20/urd:6.0.1/MMB29M/20170418.114928:user/release-keys y el dispositivo Android ZTE ZMAX Champ con una huella digital de ZTE/Z917VL/fortune:6.0.1/MMB29M/20170327.120922:user/release-keys contienen una app de plataforma preinstalada con un nombre de paquete com.android.modem.service (versionCode=25, versionName=7.1.1; versionCode=23, versionName=6.0.1) que exporta una interfaz a cualquier app ubicada en el dispositivo. Mediante la interfaz exportada de la app com.android.modem.service, cualquier app puede habilitar y obtener ciertos archivos de registro (modem y logcat) sin los correspondientes permisos de acceso apropiados. Los registros modernos contienen el número de teléfono y el cuerpo de texto completo de los mensajes de texto entrantes y salientes en formato binario. Además, el registro modem contiene los números de teléfono para las llamadas telefónicas entrantes y salientes. Los registros logcat del sistema (los que se obtienen mediante el binario logcat) suelen contener datos sensibles de usuario. Las aplicaciones de terceros no pueden leer directamente los registros logcat del sistema. La capacidad de leer desde los registros logcat del sistema solo está disponible para las apps del sistema preinstaladas y las apps de la plataforma. El registro modem y/o el logcat, una vez activados, se escriben en el almacenamiento externo (tarjeta SD). Una app que sea consciente de esta vulnerabilidad puede habilitar los registros, analizarlos en busca de datos relevantes y exfiltrarlos desde el dispositivo. Por defecto, los registros modem y logcat están inactivos, pero una app de terceros sin permisos puede activarlos, aunque la app tendrá que contar con el permiso READ_EXTERNAL_STORAGE para acceder a ellos.

El dispositivo Android Leagoo Z5C con una huella digital sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.android.messaging (versionCode=1000110, versionName=1.0.001, (android.20170630.092853-0)) con un proveedor de contenidos exportado llamado com.android.messaging.datamodel.MessagingContentProvider. Cualquier app que esté en el dispositivo puede leer el mensaje de texto más reciente de cada conversación. En otras palabras, para cada número de teléfono al que el usuario haya enviado o recibido un mensaje de texto, una aplicación de terceros sin permisos puede obtener el cuerpo del mensaje de texto, el número de teléfono, el nombre del contacto (si existe) y una marca de tiempo para el mensaje de texto más reciente de cada conversación. Como la consulta del componente de la app de provisión de contenidos puede realizarse silenciosamente en segundo plano, una app maliciosa puede monitorizar continuamente el proveedor de contenidos para comprobar si el mensaje actual en cada conversación ha cambiado para obtener nuevos mensajes de texto.

El dispositivo Android MXQ TV Box 4.4.2 con una huella digital de MBX/m201_N/m201_N:4.4.2/KOT49H/20160106:user/test-keys contiene el framework de Android con un nombre de paquete android (versionCode=19, versionName=4.4.2-20170213) que contiene un componente de app de recepción de transmisiones que, cuando se llama, hace que el dispositivo deje de ser operable. El componente vulnerable, llamado com.android.server.SystemRestoreReceiver, escribirá un valor de --restore_system\n--locale=

El dispositivo Android ASUS ZenFone 3 Max con una huella digital asus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.asus.loguploader (versionCode=1570000275, versionName=7.0.0.55_170515). Esta app contiene un componente de app de servicio exportada llamado com.asus.loguploader.LogUploaderService que, al accederse a él con una cadena de acción determinada, escribirá un informe de errores (registro del kernel, registro logcat y el estado de los servicios del sistema, incluyendo el texto de las notificaciones activas), las contraseñas de wifi y otros datos del sistema en el almacenamiento externo (tarjeta SD). Cualquier app con el permiso READ_EXTERNAL_STORAGE en este dispositivo puede leer estos datos desde la tarjeta SD una vez han sido volcados ahí por com.asus.loguploader. Las aplicaciones de terceros no pueden crear directamente un informe de errores o acceder a las credenciales de red inalámbrica almacenadas del usuario.

El dispositivo Android Leagoo Z5C con una huella digital sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.android.messaging (versionCode=1000110, versionName=1.0.001, (android.20170630.092853-0)) con un componente de app de recepción de transmisiones exportada llamado com.android.messaging.trackersender.TrackerSender. Cualquier app que también esté en el dispositivo, incluso aunque no tenga permisos, puede enviar un intent de transmisión con ciertos datos embebidos al componente de la aplicación de recepción de transmisiones exportada que resultará en el envío programático de un mensaje de texto en el que el número de teléfono y el cuerpo del mensaje de texto están controlados por el atacante.

El dispositivo Android Leagoo Z5C con una huella digital sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.android.settings (versionCode=23, versionName=6.0-android.20170630.092853) con un recibidor de transmisiones exportado que permite que cualquier app que también esté en el dispositivo inicie de forma programática una restauración de fábrica. Además, la app que inicia la restauración de fábrica no necesita ningún permiso. Una restauración de fábrica eliminará todos los datos y aplicaciones del usuario del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido sincronizado externamente o del que no tenga una copia de seguridad. La capacidad para realizar una restauración de fábrica no está directamente disponible para aplicaciones de terceros (las que los usuarios instalan por sí mismos, exceptuando las aplicaciones habilitadas MDM, o de gestión del dispositivo móvil), aunque puede obtenerse aprovechando un componente sin proteger de una app preinstalada de la plataforma.

El dispositivo Android "Leagoo P1" con una huella de build de sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys contiene una capacidad de escalado de privilegios root escondida para lograr la ejecución de comandos como el usuario root. Se han realizado modificaciones que permiten a usuarios con acceso físico al dispositivo obtener un shell root mediante ADB, modificando las propiedades de sistema, del tipo solo lectura, en tiempo de ejecución. Específicamente, la modificación de las propiedades de sistema ro.debuggable y ro.secure a un determinado valor y el reinicio del demonio ADB permite la obtención de un shell root mediante ADB.

El dispositivo Android ZTE ZMAX Champ con una huella digital ZTE/Z917VL/fortune:6.0.1/MMB29M/20170327.120922:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.zte.zdm.sdm (versionCode=31, versionName=V5.0.3) con un componente de app de recibidor de transmisiones exportado llamado com.zte.zdm.VdmcBroadcastReceiver que permite que cualquier app que también esté en el dispositivo inicie de forma programática una restauración de fábrica. Además, la app que inicia la restauración de fábrica no necesita ningún permiso. Una restauración de fábrica eliminará todos los datos y aplicaciones del usuario del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido sincronizado externamente o del que no tenga una copia de seguridad. La capacidad para realizar una restauración de fábrica no está directamente disponible para aplicaciones de terceros (las que los usuarios instalan por sí mismos, exceptuando las aplicaciones habilitadas MDM, o de gestión del dispositivo móvil), aunque puede obtenerse aprovechando un componente sin proteger de una app preinstalada de la plataforma.

El dispositivo Android ZTE ZMAX Champ con una huella digital ZTE/Z917VL/fortune:6.0.1/MMB29M/20170327.120922:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.android.zte.hiddenmenu (versionCode=23, versionName=6.0.1) con un componente de app de recibidor de transmisiones exportado llamado com.android.zte.hiddenmenu.CommandReceiver que es accesible a cualquier app que también esté en el dispositivo. Este componente de la app, cuando recibe un intent de transmisión con cierta cadena de acción, escribirá un comando no estándar (esto es, no definido en el código AOSP o Android Open Source Project) en el archivo /cache/recovery/command para que sea ejecutado en modo recovery. Una vez el dispositivo arranca en modo recovery, se cerrará inesperadamente, arrancará en modo recovery y se cerrará inesperadamente de nuevo. Este bucle de cierres inesperados seguirá repitiéndose, lo que hace que el dispositivo no pueda ser empleado. No hay forma de arrancar en un modo alternativo una vez comienza este bucle de cierres inesperados.

El dispositivo Android MXQ TV Box 4.4.2 con una huella digital de MBX/m201_N/m201_N:4.4.2/KOT49H/20160106:user/test-keys contiene el framework de Android con un nombre de paquete android (versionCode=19, versionName=4.4.2-20170213) que registra dinámicamente un componente de app de recepción de transmisiones llamado com.android.server.MasterClearReceiver, en lugar de registrarlo estáticamente en el archivo AndroidManifest.xml del paquete core de Android, tal y como se realiza en el código de Android Open Source Project (AOSP) para Android 4.4.2. El registro dinámico del componente de app de recepción de transmisiones MasterClearReceiver no está protegido con el permiso android.permission.MASTER_CLEAR durante el registro, por lo que cualquier app que esté en el dispositivo, incluso las que no tienen permisos, pueden iniciar programáticamente un reinicio de fábrica del dispositivo. Una restauración de fábrica eliminará todos los datos y aplicaciones del usuario del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido sincronizado externamente o del que no tenga una copia de seguridad. La capacidad para realizar una restauración de fábrica no está directamente disponible para aplicaciones de terceros (las que los usuarios instalan por sí mismos, exceptuando las aplicaciones habilitadas MDM, o de gestión del dispositivo móvil), aunque puede obtenerse aprovechando un componente sin proteger de un proceso core de Android.

El dispositivo Android ASUS ZenFone 3 Max con una huella digital de asus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys contiene una app de plataforma preinstalada de nombre com.asus.dm (versionCode=1510500200, versionName=1.5.0.40_171122) que tiene una interfaz expuesta en un servicio exportado llamado com.asus.dm.installer.DMInstallerService que permite que cualquier app ubicada en el dispositivo emplee sus capacidades para descargar una app arbitraria por Internet y la instale. Cualquier app del dispositivo puede enviar un intent con datos específicamente embebidos que provocará que la app com.asus.dm descargue e instale programáticamente la app. Para que la app sea descargada e instalada, deben proporcionarse ciertos datos: URL de descarga, nombre del paquete, nombre de la versión del archivo AndroidManifest.xml de la app y el hash MD5 de la app. Además, cualquier app instalada mediante este método también puede desinstalarse programáticamente mediante el mismo componente sin proteger llamado com.asus.dm.installer.DMInstallerService.

Se ha descubierto un problema en versiones anteriores a la 7.27 de NuttX. La función netlib_parsehttpurl() en apps/netutils/netlib/netlib_parsehttpurl.c gestiona de manera incorrecta las URL más largas que los bytes de hostlen (en el cliente web, esto se establece por defecto en 40), conduciendo a un bucle infinito. El vector de ataque es la cabecera Location de una respuesta HTTP 3xx.