Cualquier aplicación puede restablecer tu smartphone a la configuración de fábrica, sin root ni tu conocimiento
Con un solo comando, todo lo que guardaste desaparecerá sin dejar rastro.
Los smartphones de las marcas Ulefone y Krüger&Matz son vulnerables debido a errores críticos en las aplicaciones preinstaladas, que permiten a cualquier software instalado en el dispositivo restablecerlo a la configuración de fábrica o acceder a funciones de cifrado de aplicaciones. Las vulnerabilidades descubiertas amenazan la seguridad de los usuarios, ya que el ataque no requiere permisos de superusuario ni intervención del propietario del smartphone.
Tres vulnerabilidades han recibido identificadores: CVE-2024-13915 y CVE-2024-13916 con una puntuación de 6.9 en la escala CVSS, y CVE-2024-13917, considerada la más peligrosa con una puntuación de 8.3. Todas están relacionadas con las aplicaciones preinstaladas «com.pri.factorytest» y «com.pri.applock», que forman parte del conjunto estándar de software en los modelos Ulefone y Krüger&Matz.
En el primer caso, el servicio «com.pri.factorytest.emmc.FactoryResetService» permite que cualquier aplicación de terceros inicie un restablecimiento completo del dispositivo a su estado de fábrica. Así, un atacante puede eliminar todos los datos del usuario y devolver el smartphone a su configuración original sin la confirmación del propietario.
La segunda vulnerabilidad afecta la función de cifrado de aplicaciones mediante PIN o biometría. Resulta que el componente «com.android.providers.settings.fingerprint.PriFpShareProvider», implementado dentro de la aplicación «com.pri.applock», expone el método «query()», lo que permite a una aplicación externa obtener el PIN utilizado para acceder a las aplicaciones protegidas.
El problema más crítico es la posibilidad de inyectar una intención (intent) arbitraria con privilegios de nivel de sistema en una aplicación protegida mediante la actividad «com.pri.applock.LockUI». Para explotarla, el atacante debe conocer el PIN, pero este obstáculo se puede superar fácilmente combinando el exploit con la vulnerabilidad anterior, que permite extraer dicho PIN.
La responsabilidad del hallazgo y divulgación responsable de estas vulnerabilidades fue asumida por el equipo de CERT Polska. El autor de los descubrimientos fue Szymon Hadam. Actualmente, no hay información precisa sobre el estado de corrección de los errores por parte de los fabricantes: Ulefone y Krüger&Matz han sido notificados, pero no han informado sobre medidas para mitigar la amenaza.
El incidente demuestra que incluso en dispositivos nuevos, donde los usuarios confían en la seguridad gracias a una versión reciente del sistema operativo y configuraciones avanzadas de protección, las vulnerabilidades en servicios preinstalados pueden abrir la puerta a ataques y filtraciones de datos personales. Los expertos recomiendan prestar especial atención a la seguridad del software preinstalado, así como seguir las noticias sobre la disponibilidad de actualizaciones.