Analyse d’un combo de vulnérabilités embarrassant pour les fabricants
📱 L’histoire en bref
Trois vulnérabilités majeures, découvertes dans des applications préinstallées sur certains smartphones Android (Ulefone, Krüger&Matz), permettent à une application tierce sans permissions spéciales de :
- réinitialiser votre appareil aux paramètres d’usine,
- récupérer votre code PIN confidentiel,
- injecter des commandes système avec des privilèges élevés.
Pas besoin de root, pas besoin de failles système complexes : tout est déjà en place dans les apps d’origine. Et ça, c’est très grave.
🧨 Les vulnérabilités en détail
🧼 CVE-2024-13915 — Reset sauvage
Une app système (com.pri.factorytest) expose un service (FactoryResetService) accessible par n’importe quelle app installée sur l’appareil.
Une simple requête, et l’appareil est réinitialisé sans confirmation utilisateur. Données effacées, comptes supprimés, bon courage.
🔓 CVE-2024-13916 — Exfiltration de code PIN
L’app com.pri.applock, présente sur certains modèles Krüger&Matz, contient un provider (PriFpShareProvider) exposé sans protection.
Une app malveillante peut simplement interroger ce provider pour lire le code PIN de l’utilisateur.
Aucune permission requise. Absolument aucune.
⚙️ CVE-2024-13917 — Intentions malveillantes
Dans la même application, une activité (LockUI) peut être appelée pour injecter des intentions système arbitraires dans des contextes sensibles.
Combinée avec la faille précédente, cela permet à une app malveillante de déverrouiller l’appareil et exécuter des actions critiques comme si elle était une app système.
🕵️ Pourquoi c’est possible ?
Parce que ces applications préinstallées (aussi appelées bloatwares ou OEM apps) :
- Sont souvent non auditées,
- Échappent au Google Play Protect, car elles ne viennent pas du Play Store,
- Et sont intégrées par le constructeur, parfois via des fournisseurs tiers sans grande rigueur sécuritaire.
Et surtout : elles ne peuvent pas être désinstallées sans root, et ne sont pas mises à jour via Google Play, ce qui rend la correction dépendante du constructeur… Autant dire : rarement.
🛡️ Pourquoi c’est dangereux ?
Parce que ces vulnérabilités :
- sont facilement exploitables (POC très simple),
- concernent potentiellement des dizaines de milliers d’appareils dans le monde,
- et peuvent être utilisées pour effacer des preuves, effacer un appareil volé, ou détourner une authentification par écran verrouillé.
💡 Que faire si vous êtes concerné ?
📍 1. Vérifiez votre appareil
- Marque : Ulefone, Krüger&Matz
- Cherchez les apps
com.pri.factorytestetcom.pri.applock(via ADB ou un gestionnaire d’applis avancé)
🛠️ 2. Appliquez toute mise à jour constructeur disponible
- Peu probable, mais on ne sait jamais.
🛑 3. Si pas de patch : désactivation via ADB
bash adb shell pm disable-user --user 0 com.pri.factorytest<br>adb shell pm disable-user --user 0 com.pri.applock
🕵️ 4. Surveillez l’activité de vos applications
- Utilisez un pare-feu Android (NetGuard, RethinkDNS, etc.)
- Analysez les logs si vous êtes root
🔐 5. Changez votre code PIN si vous êtes à risque
Et évitez d’utiliser le même pour d’autres services/appareils.
🧩 Ce que ça dit de l’écosystème Android
Ce n’est pas une faille d’Android AOSP.
Ce n’est pas un malware.
C’est le résultat direct de la chaîne d’intégration OEM.
Tant que les fabricants pourront ajouter des apps sans audit de sécurité…
Tant que ces apps auront des droits étendus…
Tant que l’utilisateur ne pourra pas les désinstaller…
Des failles comme celles-ci continueront d’exister.
🎯 En résumé
- 3 CVE critiques
- Applications OEM mal conçues
- Exploitation sans permissions
- Zéro contrôle utilisateur
📢 On parle souvent de durcir le système. Mais si la menace est déjà préinstallée à l’achat, alors la sécurité mobile commence par imposer des standards aux constructeurs.
