Android 智能手机预装应用程序中发现安全问题

安全研究人员在 Ulefone 和 Krüger&Matz Android 智能手机预装的应用程序中发现了多个严重漏洞。这些漏洞由波兰 CERT报告，使用户面临重大风险，包括潜在的数据窃取和恶意应用程序的设备操控。具体而言，安装在同一设备上的第三方应用程序可能会在未经身份验证的情况下滥用这些漏洞，执行设备恢复出厂设置、窃取 PIN 码，并注入具有系统级权限的任意 Intent。

漏洞解释

以下是这三个具体漏洞的细分：

CVE-2024-13915：恢复出厂设置服务漏洞

• 该漏洞会影响com.pri.factorytestUlefone 和 Krüger&Matz 等供应商在制造过程中预装在 Android 智能手机上的应用程序。

• 该易受攻击的应用程序（具体来说是 1.0 版本）公开了一项名为 的服务com.pri.factorytest.emmc.FactoryResetService。

图 1. AndroidManifest.xml 中定义的导出服务

此不当暴露的服务允许设备上安装的任何其他应用程序执行恢复出厂设置。

图 2. 恢复出厂设置代码

应用程序的更新并未改变 APK 版本，而是捆绑在后来的操作系统版本中（Ulefone 在 2024 年 12 月之后，Krüger&Matz 可能在 2025 年 3 月之后）。

CVE-2024-13916：AppLock PIN 泄露

• 该问题存在于com.pri.applockKrüger&Matz 智能手机上预装的应用程序中，该应用程序旨在使用 PIN 或生物特征数据加密其他应用程序。

• 该漏洞存在于暴露的内容提供商中com.android.providers.settings.fingerprint.PriFpShareProvider。

图 3. AndroidManifest.xml 中定义的导出提供程序

• 此内容提供商的公共方法query()允许任何其他恶意应用程序在无需任何特定 Android 系统权限的情况下窃取（窃取）用户的 PIN 码。

query()图4.方法代码

• 这直接影响敏感信息（PIN）的机密性。

• 供应商没有提供所有易受攻击的版本的信息；测试证实版本 13（版本代码 33）存在易受攻击的情况。

CVE-2024-13917：AppLock 活动意图注入

• 该漏洞还影响了com.pri.applockKrüger&Matz 智能手机上的应用程序，涉及一个名为 的暴露活动com.pri.applock.LockUI。

图 5. AndroidManifest.xml 中定义的导出 LockUI 活动

• 此漏洞允许任何其他恶意应用程序（同样未获得 Android 系统权限）将具有系统级权限的任意意图注入受 AppLock 保护的应用程序中。

图 6. 第三方应用收到的任何非导出 Intent 的开始

• 为了充分利用这一点，恶意应用程序需要知道保护 PIN 码（可能通过利用 CVE-2024-13916 泄露）或诱骗用户提供该 PIN 码。

• 利用暴露的活动可以让恶意应用程序访问敏感信息、修改应用程序的内部状态或欺骗用户。

• 与 CVE-2024-13916 类似，供应商没有提供所有易受攻击版本的信息；版本 13（版本代码 33）被确认存在漏洞。

理解 CWE-926：Android 应用程序组件的不正确导出

上述两个漏洞与 CWE-926 相关：Android 应用程序组件导出不当。这是一个漏洞，Android 应用程序会导出组件（Activity、Service 或 Content Provider）供其他应用程序使用，但未能正确限制哪些应用程序可以启动该组件或访问其包含的数据。

主要有三种类型的 Android 组件可能会被错误导出：

• 活动：提供用户界面。如果导出不当，任何应用都可以启动它，从而可能泄露敏感信息或允许恶意交互。

• 服务：在后台运行操作，无需用户界面。如果导出不当，任何应用都可以启动或绑定到该服务，从而可能执行未经授权的操作或破坏其内部状态。

• 内容提供器：在应用内或与其他应用共享数据的机制。如果导出不当，恶意应用可能会读取或修改敏感数据。在 Android 4.2 之前的版本中，除非明确标记，否则内容提供器会自动导出。

一个简单的漏洞利用示例涉及一个旨在供内部使用或受信任合作伙伴使用的 Activity 或 Service，但它在 中定义了 Intent 过滤器，AndroidManifest.xml并且未明确设置android:exported="false"。默认情况下，Intent 过滤器的存在会自动导出该组件。恶意应用只需创建一个与此过滤器匹配的 Intent，并启动导出的 Activity 或 Service，即可获得其不该拥有的功能或数据的访问权限。同样，如果 Content Provider 未受限制，其他应用可以使用 ContentResolver 查询、插入、更新或删除该 Provider 中的数据，从而读取或修改敏感信息。

根据 CWE-926 公开披露的其他问题

以下是一些与 Android 应用程序组件导出不当有关的公开披露的安全问题，当 Android 应用程序组件（如活动、服务或内容提供程序）在没有适当的访问限制的情况下导出时，就会发生这种情况：

• Imou Life ( CVE-2023-42470 )https://nvd.nist.gov/vuln/detail/CVE-2023-42470

描述：com.mm.android.smartlifeiot 应用中的 com.mm.android.easy4ip.MainActivity 活动会盲目加载通过 Intent 数据提供的 URL。恶意第三方应用可利用此漏洞触发恶意网页内容加载，从而在 WebView 中发起未经授权的 JavaScript 网页浏览器挖矿操作或远程代码执行。

影响：攻击者可以利用此漏洞：

• 在应用程序的上下文中执行任意 JavaScript，从而导致远程代码执行。

• 启动未经授权的网络浏览器挖掘操作，消耗设备资源并可能为攻击者赚取加密货币。

• 在没有恶意应用程序清单中必要的权限的情况下从受害者的设备访问互联网。

PoC：分析

https://github.com/actuator/imou/blob/main/imou-life-6.8.0.md

• 三星移动 ( CVE-2025-20975 )https://nvd.nist.gov/vuln/detail/CVE-2025-20975

描述：8.8.28.12 版本之前的 AODService 中 Android 应用程序组件导出不当，允许本地攻击者以 systemui 权限启动任意活动。

• Kiosk 上的 Android 代理 ( CVE-2023-41960 )https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41960

问题：该漏洞允许非特权（不受信任）的第三方应用程序与 Android 代理应用程序不安全地公开的内容提供商进行交互，从而可能修改 Android 客户端应用程序本身的敏感设置。

描述：研华 TPC-110W HMI 设计用于远程控制。此功能通过预装在操作系统上的特定 Android 应用程序 Android Agent（软件包名称为 com.adv.client）实现。该应用程序以高权限运行，允许远程管理员在设备上执行特定操作，例如启用调试接口或通过 VNC 远程登录以及安装或删除应用程序。

来源：博世力士乐 ctrlX HMI WR21 基于浏览器的 HMI 受到多个安全漏洞的影响

https://www.nozominetworks.com/blog/bosch-rexroth-ctrlx-hmi-wr21-browser-based-hmi-affected-by-multiple-security-flaws

• Android 打印机共享 ( CVE-2025-5098 ) https://nvd.nist.gov/vuln/detail/CVE-2025-5098

描述：PrinterShare Android 应用程序 ( com.dynamixsoftware.printershare) 允许捕获 Gmail 身份验证令牌，这些令牌可在未经适当授权的情况下重复用于访问用户的 Gmail 帐户。

来源：Mobile Dynamix PrinterShare Mobile Print Gmail Oauth 令牌披露

https://korelogic.com/Resources/Advisories/KL-001-2025-003.txt

• 三星移动（CVE-2024-20860）https://www.cve.org/CVERecord?id=CVE-2024-20860

描述：SMR 2024 年 5 月版本 1 之前的 TelephonyUI 中 Android 应用程序组件导出不当漏洞允许本地攻击者在未经适当许可的情况下重新启动设备。

• BLU View 2 和 Sharp Rouvo V ( CVE-2023-38290 ) https://nvd.nist.gov/vuln/detail/CVE-2023-38290

描述：某些适用于 BLU View 2 和 Sharp Rouvo V Android 设备的软件版本包含一个预装应用 ( com.evenwell.fqc)，该应用由于访问控制不当而存在漏洞。该应用会暴露导出的组件，任何第三方应用均可触发这些组件，无需特殊权限或用户交互。

影响：这使攻击者可以：

• 授予任意权限

• 静默安装应用程序

• 录制屏幕

• 擦除设备

• 注入输入事件

• 拨打紧急电话号码

• 禁用应用程序

• 访问通知

来源：开箱即用，依然存在漏洞：重新审视预付费 Android 运营商设备的安全性

https://media.defcon.org/DEF%20CON%2031/DEF%20CON%2031%20presentations/Ryan%20Johnson%20Mohamed%20Elsabagh%20Angelos%20Stavrou%20-%20Still%20Vulnerable%20Out%20of%20the%20Box%20Revisiting%20the%20Security%20of%20Prepaid%20Android%20Carrier%20Devices.pdf

给开发人员的结论

为了保护应用程序免受 Ulefone 和 Krüger&Matz 设备中发现的 CWE-926 漏洞的影响，开发人员应专注于减少攻击面。构建和编译阶段或架构和设计阶段的关键缓解策略包括：

明确将组件标记为未导出：对于不打算供其他应用使用的组件，开发者应在应用的清单中明确设置 android:exported=”false” 。这是防止意外访问的关键步骤。

使用基于签名的限制：如果必须共享组件，但仅限于开发者控制的相关应用之间，请在清单 XML 中使用android:protectionLevel=”signature”。这将限制只有使用相同证书签名的应用才能访问。

限制内容提供商权限：对于导出的内容提供商，请根据需要仔细限制读写权限。

通过遵循这些做法，开发人员可以防止未经授权访问其应用程序组件并保护用户数据免受恶意应用程序的侵害。