UlefoneとKrüger&MatzのスマートフォンにプリロードされたAndroidアプリケーションに、任意のアプリがデバイスの初期化やアプリケーションの暗号化を実行できる可能性のある3つのセキュリティ脆弱性が公開されました。
3つの欠陥の簡単な説明は以下の通りです –
- CVE-2024-13915 (CVSSスコア: 6.9) – UlefoneとKrüger&Matzのスマートフォンにプリインストールされた「com.pri.factorytest」アプリケーションは、「com.pri.factorytest.emmc.FactoryResetService」サービスを公開しており、任意のインストール済みアプリがデバイスの初期化を実行することができます。
- CVE-2024-13916 (CVSSスコア: 6.9) – Krüger&Matzのスマートフォンにプリインストールされた「com.pri.applock」アプリケーションは、ユーザー提供のPINコードや生体認証データを使用して任意のアプリケーションを暗号化することができます。このアプリはまた、「com.android.providers.settings.fingerprint.PriFpShareProvider」コンテンツプロバイダーの「query()」メソッドを公開しており、他の手段で既にデバイスにインストールされている悪意のあるアプリがPINコードを流出させることを許可します。
- CVE-2024-13917 (CVSSスコア: 8.3) – Krüger&Matzのスマートフォンにプリインストールされた「com.pri.applock」アプリケーションは、「com.pri.applock.LockUI」アクティビティを公開しており、Androidシステムの権限が付与されていない他の悪意のあるアプリケーションが、システムレベルの特権を持つ任意のインテントを保護されたアプリケーションに注入することを許可します。
CVE-2024-13917を悪用するには、攻撃者が保護PIN番号を知っている必要がありますが、CVE-2024-13916と連携することでPINコードを漏洩させることができます。
これらの脆弱性を詳述したCERT Polskaは、Szymon Chadamが責任を持ってこれらを公開したことを認めています。しかし、これらの欠陥の正確なパッチ状況は不明のままです。The Hacker Newsは、UlefoneとKrüger&Matzの両社に追加のコメントを求めており、返答があれば記事を更新します。
翻訳元: https://thehackernews.com/2025/06/preinstalled-apps-on-ulefone-kruger.html