Vulnerabilidades

El dispositivo Android Vivo V7 con una huella digital de compilación vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys contiene una aplicación de plataforma con un nombre de paquete com.vivo.smartshot (versionCode=1, versionName=3.0.0). Esta aplicación incluye un servicio exportado llamado com.vivo.smartshot.ui.service.ScreenRecordService que grabará la pantalla durante 60 minutos y escribirá el archivo mp4 en la ubicación que elija el usuario. Normalmente, una notificación de grabación será visible para el usuario, pero descubrimos un método para hacerlo más transparente para el usuario al eliminar rápidamente una notificación y un ícono flotante. El usuario puede observar un ícono flotante y la notificación aparece y desaparece rápidamente debido a la rápida detención y reinicio del servicio con distintos parámetros que no interfieren con la grabación de la pantalla en curso. La grabación de la pantalla tiene una duración de 60 minutos y puede ser escrita directamente en el directorio privado de la aplicación atacante.

Una inyección de comando (falta de validación de entrada, escapado) en la monitorización o interfaz web de estado de la memoria en el teléfono VoIP AudioCodes 405HD (firmware 2.2.12) permite que un atacante remoto autenticado en la misma red que el dispositivo active comandos del sistema operativo (como iniciar telnetd o abrir un shell inverso) a través de una solicitud POST al servidor web. En combinación con otro ataque (cambio de contraseña no autenticada), el atacante puede eludir el requisito de autenticación.

Ataques de Cross Site Scripting (XSS) en diferentes campos de entrada (campo de dominio y ajustes personales) en el teléfono VoIP AudioCodes 405HD, con firmware 2.2.12, permite a un atacante (local o remoto) inyectar JavaScript en la interfaz web del dispositivo manipulando las entradas de la guía telefónica o manipulando el nombre de dominio enviado al dispositivo desde el controlador de dominio.

Una falta de verificación de contraseñas en la interfaz web del teléfono VoIP AudioCodes 405HD, con firmware 2.2.12, permite a un atacante remoto (en la misma red que el dispositivo) cambiar la contraseña del administrador sin necesidad de autenticación a través de una solicitud POST.

Una vulnerabilidad de inyección de comandos en PWS en Imperva SecureSphere versión 13.0.0.10 y 13.1.0.10 Gateway, permite a un atacante con acceso autenticado ejecutar comandos arbitrarios del SO en una instalación vulnerable.

El dispositivo Android de Essential Phone con una huella digital de compilación essential/mata/mata:8.1.0/OPM1.180104.166/297:user/release-keys alberga una aplicación de plataforma preinstalada con el nombre del paquete com.ts.android.hiddenmenu (versionName=1.0, platformBuildVersionName=8.1.0) que contiene un componente de aplicación de actividad exportada denominado com.ts.android.hiddenmenu.rtn.RTNResetActivity que permite que cualquier aplicación dentro del dispositivo inicie un restablecimiento de fábrica programadamente. Adicionamete, la aplicación que inicia el restablecimiento de fábrica no requiere ningún permiso. Un restablecimiento de fábrica suprimirá todos los datos de usuario y aplicaciones del dispositivo. Esto conllevará a la pérdida de cualquier dato que no haya sido respaldado o sincronizado externamente. La capacidad para ejecutar un restablecimiento de fábrica no está disponible directamente para aplicaciones de terceros (aquellas que el usuario se instala solo con la excepción de las aplicaciones de Mobile Device Management (MDM) habilitadas), aunque esta capacidad puede ser conseguida al operar un componente de aplicación no protegido de una aplicación de plataforma preinstalada.

Los dispositivos Android de Coolpad Defiant (Coolpad/cp3632a/cp3632a:7.1.1/NMF26F/099480857:user/release-keys) y T-Mobile Revvl Plus (Coolpad/alchemy/alchemy:7.1.1/143.14.171129.3701A-TMO/buildf_nj_02-206:user/release-keys) contienen una aplicación de plataforma preinstalada con un nombre de paquete com.qualcomm.qti.telephony.extcarrierpack (versionCode=25, versionName=7.1.1) que contiene un componente exportado de la aplicación del receptor de difusión denominado com.qualcomm.qti.telephony.extcarrierpack.UiccReceiver, el cual permite que cualquier aplicación dentro del dispositivo ejecute un restablecimiento de fábrica por programación. Además, la aplicación que inicia el restablecimiento de fábrica no requiere ningún permiso. Un restablecimiento de fábrica suprimirá todos los datos de usuario y aplicaciones del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido respaldado o sincronizado externamente. La capacidad para realizar un restablecimiento de fábrica no está disponible directamente para aplicaciones de terceros (aquellas que el usuario se instala solo con la excepción de las aplicaciones de Mobile Device Management (MDM) habilitadas), mientras esta capacidad se puede obtener mediante el aprovechamiento de un componente de aplicación no protegido de una aplicación de plataforma preinstalada.

El dispositivo Leagoo P1 con una huella digital de compilación de sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete com.wtk.factory (versionCode=1, versionName=1.0) que contiene un receptor de difusión exportado llamado com.wtk.factory.MMITestReceiver, lo que permite que cualquier aplicación dentro del dispositivo inicie un restablecimiento de fábrica programadamente. Además, la aplicación que inicia el restablecimiento de fábrica no requiere ningún permiso. Un restablecimiento de fábrica suprimirá todos los datos de usuario y aplicaciones del dispositivo. Esto conllevará a la pérdida de cualquier dato que no se presenta sido respaldado o sincronizado externamente. La capacidad para realizar un restablecimiento de fábrica no está disponible directamente para aplicaciones de terceros (aquellas que el usuario se instala solo con la excepción de las aplicaciones de Mobile Device Management (MDM) habilitadas), a pesar de que esta capacidad se puede conseguir al aprovechar un componente de aplicación no protegido de una aplicación de plataforma preinstalada.

El dispositivo Android ASUS ZenFone 3 Max con una huella digital de compilación de asus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys, contiene el framework de Android (es decir, system_server) con un nombre de paquete de android (versionCode=24, versionName=7.0) que ha sido modificado por ASUS u otra entidad en la cadena de suministro. El proceso system_server en el paquete central de Android tiene un receptor de difusión exportado que permite que cualquier aplicación dentro del dispositivo iniciar la captura de pantalla de manera programada y que la captura de pantalla sea escrita en un almacenamiento externo (es decir, sdcard). La toma de una captura de pantalla no es transparente para el usuario; el dispositivo tiene una animación de pantalla a medida que se toma la captura de pantalla y se presenta una notificación indicando que ocurrió una captura de pantalla. Si la aplicación atacante también solicita el permiso EXPAND_STATUS_BAR, puede activar el dispositivo usando ciertas técnicas y expandir la barra de estado para tomar una captura de pantalla de las notificaciones del usuario, incluso si el dispositivo tiene un bloqueo de pantalla activo. Las notificaciones pueden contener datos confidenciales, como mensajes de texto usados en la autenticación de dos factores. El proceso system_server que suministra esta capacidad no se puede desactivar, ya que forma parte del marco de Android. La notificación puede ser eliminada por un ataque local de Denegación de Servicio (DoS) para reiniciar el dispositivo.

El dispositivo Android ASUS Zenfone V Live con una huella digital de compilación asus/VZW_ASUS_A009/ASUS_A009:7.1.1/NMF26F/14.0610.1802.78-20180313:user/release-keys y el dispositivo Android Asus ZenFone 3 Max con una huella digital de compilación asus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys, ambos contienen una aplicación de plataforma preinstalada con el nombre del paquete com.asus.splendidcommandagent (versionCode=1510200090, versionName=1.2.0.18_160928) que contiene un servicio exportado denominado com.asus.splendidcommandagent.SplendidCommandAgentService que permite que cualquier aplicación dentro del dispositivo realice comandos arbitrarios para ser ejecutados como usuario del sistema. Esta aplicación no puede ser desactivada por el usuario y el ataque puede ser realizado por una aplicación de cero permisos. La ejecución de comandos como usuario del sistema puede permitir a una aplicación de terceros grabar en video la pantalla del usuario, restaurar el dispositivo de fábrica, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la Interfaz Gráfica de Usuario (GUI), cambiar el Método de Entrada por defecto Editor (IME) (por ejemplo, teclado) con un contenido dentro de la aplicación de ataque que comprende la funcionalidad de registro de teclas, conseguir los mensajes de texto del usuario y más.

Se descubrió un problema en los dispositivos Tenda AC7 con firmware a través de la versión V15.03.06.44_CN (AC7), dispositivos AC9 con firmware a través de la versión V15.03.05.19 (6318) _CN (AC9), y dispositivos AC10 con firmware a través de la versión V15.03.06.23_CN ( AC10). Existe una vulnerabilidad de desbordamiento de búfer en el servidor web del router (httpd). Cuando son procesados los parámetros page para una solicitud post, el valor se escribe directamente con sprintf hacia una variable local colocada en la pila, que anula la dirección de retorno de la función, lo que provoca un desbordamiento del búfer.

Se descubrió un problema en los dispositivos Tenda AC7 con firmware a través de la versión V15.03.06.44_CN (AC7), dispositivos AC9 con firmware a través de la versión V15.03.05.19 (6318) _CN (AC9), y dispositivos AC10 con firmware a través de la versión V15.03.06.23_CN ( AC10). Existe una vulnerabilidad de desbordamiento de búfer en el servidor web del router (httpd). Cuando son procesados los parámetros list para una solicitud post, el valor se escribe directamente con sprintf en una variable local colocada en la pila, que anula la dirección de retorno de la función, lo que provoca un desbordamiento del búfer.