Analyse dâun combo de vulnĂ©rabilitĂ©s embarrassant pour les fabricants
đ± Lâhistoire en bref
Trois vulnĂ©rabilitĂ©s majeures, dĂ©couvertes dans des applications prĂ©installĂ©es sur certains smartphones Android (Ulefone, KrĂŒger&Matz), permettent Ă une application tierce sans permissions spĂ©ciales de :
- rĂ©initialiser votre appareil aux paramĂštres dâusine,
- récupérer votre code PIN confidentiel,
- injecter des commandes systÚme avec des privilÚges élevés.
Pas besoin de root, pas besoin de failles systĂšme complexes : tout est dĂ©jĂ en place dans les apps dâorigine. Et ça, câest trĂšs grave.
𧚠Les vulnérabilités en détail
đ§Œ CVE-2024-13915 â Reset sauvage
Une app systĂšme (com.pri.factorytest) expose un service (FactoryResetService) accessible par nâimporte quelle app installĂ©e sur lâappareil.
Une simple requĂȘte, et lâappareil est rĂ©initialisĂ© sans confirmation utilisateur. DonnĂ©es effacĂ©es, comptes supprimĂ©s, bon courage.
đ CVE-2024-13916 â Exfiltration de code PIN
L’app com.pri.applock, prĂ©sente sur certains modĂšles KrĂŒger&Matz, contient un provider (PriFpShareProvider) exposĂ© sans protection.
Une app malveillante peut simplement interroger ce provider pour lire le code PIN de l’utilisateur.
Aucune permission requise. Absolument aucune.
âïž CVE-2024-13917 â Intentions malveillantes
Dans la mĂȘme application, une activitĂ© (LockUI) peut ĂȘtre appelĂ©e pour injecter des intentions systĂšme arbitraires dans des contextes sensibles.
CombinĂ©e avec la faille prĂ©cĂ©dente, cela permet Ă une app malveillante de dĂ©verrouiller lâappareil et exĂ©cuter des actions critiques comme si elle Ă©tait une app systĂšme.
đ”ïž Pourquoi câest possible ?
Parce que ces applications préinstallées (aussi appelées bloatwares ou OEM apps) :
- Sont souvent non auditées,
- Ăchappent au Google Play Protect, car elles ne viennent pas du Play Store,
- Et sont intégrées par le constructeur, parfois via des fournisseurs tiers sans grande rigueur sécuritaire.
Et surtout : elles ne peuvent pas ĂȘtre dĂ©sinstallĂ©es sans root, et ne sont pas mises Ă jour via Google Play, ce qui rend la correction dĂ©pendante du constructeur⊠Autant dire : rarement.
đĄïž Pourquoi câest dangereux ?
Parce que ces vulnérabilités :
- sont facilement exploitables (POC trÚs simple),
- concernent potentiellement des dizaines de milliers dâappareils dans le monde,
- et peuvent ĂȘtre utilisĂ©es pour effacer des preuves, effacer un appareil volĂ©, ou dĂ©tourner une authentification par Ă©cran verrouillĂ©.
đĄ Que faire si vous ĂȘtes concernĂ© ?
đ 1. VĂ©rifiez votre appareil
- Marque : Ulefone, KrĂŒger&Matz
- Cherchez les appsÂ
com.pri.factorytest etÂcom.pri.applock (via ADB ou un gestionnaire dâapplis avancĂ©)
đ ïž 2. Appliquez toute mise Ă jour constructeur disponible
- Peu probable, mais on ne sait jamais.
đ 3. Si pas de patch : dĂ©sactivation via ADB
bash adb shell pm disable-user --user 0 com.pri.factorytest<br>adb shell pm disable-user --user 0 com.pri.applock
đ”ïž 4. Surveillez lâactivitĂ© de vos applications
- Utilisez un pare-feu Android (NetGuard, RethinkDNS, etc.)
- Analysez les logs si vous ĂȘtes root
đ 5. Changez votre code PIN si vous ĂȘtes Ă risque
Et Ă©vitez dâutiliser le mĂȘme pour dâautres services/appareils.
𧩠Ce que ça dit de lâĂ©cosystĂšme Android
Ce nâest pas une faille dâAndroid AOSP.
Ce nâest pas un malware.
Câest le rĂ©sultat direct de la chaĂźne dâintĂ©gration OEM.
Tant que les fabricants pourront ajouter des apps sans audit de sĂ©curitĂ©âŠ
Tant que ces apps auront des droits Ă©tendusâŠ
Tant que lâutilisateur ne pourra pas les dĂ©sinstallerâŠ
Des failles comme celles-ci continueront dâexister.
đŻ En rĂ©sumĂ©
- 3 CVE critiques
- Applications OEM mal conçues
- Exploitation sans permissions
- ZĂ©ro contrĂŽle utilisateur
đą On parle souvent de durcir le systĂšme. Mais si la menace est dĂ©jĂ prĂ©installĂ©e Ă lâachat, alors la sĂ©curitĂ© mobile commence par imposer des standards aux constructeurs.
