Любое приложение может незаметно сбросить смартфон до заводских настроек — без рута и разрешений.

Одна команда — и все данные исчезают без следа

Смартфоны Ulefone и Krüger&Matz оказались уязвимы из-за критических ошибок в предустановленном ПО. Эти баги позволяют любому приложению выполнить сброс до заводских настроек или получить доступ к функциям шифрования — без рута и ведома пользователя.

Идентификаторы уязвимостей: CVE-2024-13915 и CVE-2024-13916 (оценка 6,9 по CVSS), а также наиболее опасная CVE-2024-13917 (8,3 балла). Все связаны с системными компонентами com.pri.factorytest и com.pri.applock.

Одна из уязвимостей (FactoryResetService) позволяет стороннему приложению инициировать полный сброс устройства. Другая (PriFpShareProvider) — извлечь PIN-код, защищающий доступ к приложениям. Самая опасная — отправка системных команд через LockUI, что даёт злоумышленнику привилегии уровня системы.

Уязвимости обнаружила команда CERT Polska, автор — Сымон Хадам. Производители уведомлены, но о патчах пока не сообщили.

Инцидент показывает: даже новые устройства с актуальной ОС могут быть уязвимы из-за ненадёжного встроенного ПО. Эксперты рекомендуют следить за обновлениями и проверять предустановленные приложения.