Ứng dụng smartphone cài sẵn giúp hacker "thuận tay" lấy mã PIN, chiếm quyền hệ thống

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
99
827 bài viết
Ứng dụng smartphone cài sẵn giúp hacker "thuận tay" lấy mã PIN, chiếm quyền hệ thống
WhiteHat Team
Ba lỗ hổng zero-day nghiêm trọng (CVE-2024-13915, 13916, 13917) được phát hiện trong các ứng dụng cài sẵn trên smartphone Ulefone và Krüger&Matz cho phép thực hiện reset thiết bị, đánh cắp mã PIN và thực thi lệnh độc hại.

1748944384774.png

Lỗi này bắt nguồn từ việc export sai thành phần ứng dụng Android, cho phép ứng dụng độc hại truy cập trái phép mà không cần quyền đặc biệt. Khi kết hợp, các lỗ hổng này có thể dẫn đến mất dữ liệu, vượt qua cơ chế khóa ứng dụng và chiếm quyền hệ thống. Chúng nằm trong các ứng dụng được cài sẵn từ nhà sản xuất, có thể bị khai thác để:
  • Đặt lại máy về trạng thái gốc (factory reset) từ xa
  • Đánh cắp mã PIN khóa ứng dụng
  • Chèn mã độc với quyền hệ thống (privilege escalation)
Chi tiết các lỗ hổng:

⚠️CVE-2024-13915
  • Ứng dụng: com.pri.factorytest (có sẵn trong máy)
  • Vấn đề: Bất kỳ app nào cũng có thể gọi lệnh reset máy về trạng thái ban đầu mà không cần quyền đặc biệt.
  • Rủi ro: Mất toàn bộ dữ liệu chỉ với 1 app độc hại.
  • Tình trạng:
    • Ulefone đã vá trên bản cập nhật sau tháng 12/2024
    • Krüger&Matz có thể đã vá sau tháng 3/2025, nhưng không thay đổi số phiên bản hay công bố rõ, nên khiến người dùng khó có thể nhận biết là hãng đã vá hay chưa
⚠️CVE-2024-13916
  • Ứng dụng: com.pri.applock của Krüger&Matz
  • Vấn đề: Ứng dụng khóa ứng dụng bằng PIN/Biometric nhưng lại lộ thông tin mã PIN qua một cổng dữ liệu mở.
  • Rủi ro: App độc có thể lấy được mã PIN người dùng mà không cần xin quyền gì cả.
⚠️CVE-2024-13917
  • Cũng trong com.pri.applock
  • Vấn đề: Cho phép app độc chèn lệnh hệ thống với quyền cao, nếu biết mã PIN (có thể lấy từ lỗi 2).
  • Rủi ro: Kết hợp với CVE-2024-13916 ➡ chiếm toàn quyền kiểm soát thiết bị.
Các lỗ hổng này không cần quyền đặc biệt, có thể bị khai thác chỉ bằng một app độc hại được cài vào máy. Hậu quả xảy ra có thể sẽ rất nghiêm trọng:
  • Mất toàn bộ dữ liệu cá nhân
  • Mã PIN bảo mật bị lộ
  • Bị chiếm quyền hệ thống để cài mã độc, giám sát hoặc khóa máy.
Nếu bạn đang dùng điện thoại Ulefone hoặc Krüger&Matz, thì hãy lập tức:
  • Cập nhật hệ điều hành lên bản mới nhất càng sớm càng tốt
  • Kiểm tra và gỡ bỏ ứng dụng bị ảnh hưởng (nếu có thể)
  • Không cài app từ nguồn không rõ ràng, đặc biệt là app yêu cầu quyền hệ thống
  • Đảm bảo thiết bị Ulefone đã được cập nhật lên bản OS phát hành sau tháng 12/2024
  • Với Krüger&Matz, cập nhật bản vá phát hành sau tháng 3/2025, dù nhà sản xuất chưa xác nhận rõ ràng
  • Theo dõi thông tin cập nhật từ hãng hoặc kiểm tra thông qua các bản vá Android Security Patch mới nhất
Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • HuluCaptcha lừa người dùng chạy mã độc bằng CAPTCHA giả qua lệnh Run của Windows
  • Safari dính lỗ hổng toàn màn hình, người dùng dễ bị lấy cắp thông tin đăng nhập
  • Firefox tung bản vá khẩn cấp để khắc phục lỗi hiển thị trên GPU Nvidia
  • Hơn 93 tỷ cookie của người dùng bị đánh cắp và rao bán trên Dark Web
  • Lỗ hổng trong WSO2 SOAP cho phép chiếm quyền, đặt lại mọi mật khẩu người dùng
  • Hơn 40 tiện ích Chrome giả mạo thương hiệu lớn, đánh cắp dữ liệu người dùng
    • Thẻ
    android cve-2024-13915 cve-2024-13916 cve-2024-13917 smartphone
    Bên trên