In vorinstallierten Apps insbesondere auf günstigen Smartphones von zwei Herstellern haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Die erlauben Angreifern, das Smartphone auf Werkseinstellungen zurückzusetzen, Apps mit PIN-Sperre zu belegen oder PIN-Codes unbefugt auszulesen.
Davor warnt das polnische CERT aktuell in einem Beitrag. In Smartphones der Anbieter Krüger&Matz und Ulefone sind ab Werk Apps vorinstalliert, die Sicherheitslücken aufreißen. Beide Anbieter haben sich auf billige Android-Smartphones spezialisiert, die etwa auf günstigere Prozessoren von Mediatek setzen. Krüger&Matz ist vorrangig in Polen und Rumänien aktiv.
Insgesamt drei Apps mit Schwachstellen hat das polnische CERT gemeldet. Die gravierendste findet sich in "com.pri.applock", die zur Verschlüsselung einer App mit einem PIN-Code oder biometrischen Daten dient. Jede App ohne angeforderte Rechte im Android-System kann mit System-Rechten bösartige Befehle einschleusen. Dazu ist lediglich Kenntnis der PIN nötig – die entweder von Smartphone-Nutzern angefragt oder mittels der nachfolgenden Sicherheitslücke ergattert werden können (CVE-2024-13917 / EUVD-2024-54616, CVSS 8.3, Risiko "hoch").
Durch die erreichbare Methode query() in "com.android.providers.settings.fingerprint.PriFpShareProvider" lässt sich ohne Anforderung etwaiger Android-Systemrechte der PIN-Code aus "com.pri.applock" ausschleusen (CVE-2024-13916 / EUVD-2024-54615, CVSS 6.9, Risiko "mittel"). Beide Fehler betreffen die App in Version Name 13, Version Code 33.
Schließlich bringen die Smartphones von Krüger&Matz und Ulefone die App "com.pri.factorytest" in Version Name 1.0, Version Code 1, mit. Die stellt den Dienst "com.pri.factorytest.emmc.FactoryResetService" bereit. Der ermöglicht jeder App, einen Werksreset des Geräts auszulösen (CVE-2024-13915 / EUVD-2025-16514, CVSS 6.9, Risiko "mittel").
Die Update-Lage ist derzeit unklar. Das polnische CERT schreibt, dass in Ulefone-Firmwares nach dem Dezember 2024 die Factory-Test-App mit gleicher Versionsnummer in fehlerbereinigter Version mitgeliefert wird. Bei Krüger&Matz-Phones ist das wahrscheinlich in Firmware-Versionen nach dem März 2025 der Fall – der Hersteller hat das jedoch nicht bestätigt, also können neuere Releases weiterhin verwundbar sein. Ebenso verhält es sich mit den beiden anderen Lücken, auch dort hat der Hersteller keine Informationen zu den verwundbaren und fehlerkorrigierten Versionen genannt. Generell sind laut der Hersteller-Webseiten die Smartphones mit recht angestaubten Android-Versionen bestückt. So finden sich Versionen wie Android 11 bei Krüger&Matz – den Support für dessen Nachfolger Android 12 und 12L hat Google Ende März dieses Jahres eingestellt, es gibt keine Sicherheitsupdates mehr dafür. Bei Ulefon lassen sich immerhin keine Geräte mit älterem Android als Version 12 erstehen.
Dieser Fall ist etwas ungewöhnlich, handelt es sich "lediglich" um Schwachstellen in regulärer Software, die auf Smartphones ab Werk installiert vorliegt. Bekannt sind eher Fälle, bei denen in der Firmware solcher billigen Android-Smartphones Malware wie Trojaner vorinstalliert sind. Derartig infizierte Handys spionieren ihre Besitzer böswillig aus.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare