Błędna konfiguracja aplikacji Touch Pal na urządzeniach Qualcomm umożliwia zbieranie danych o zachowaniu użytkownika bez jego wiedzy i zgody. Podatność uzyskała ocenę krytyczną CVSS 9.8, co wskazuje na możliwość zdalnego i nieautoryzowanego pozyskania wrażliwych informacji.
▸ Pokaż oryginał (EN)
Wrong configuration in Touch Pal application can collect user behavior data without awareness by the user.
Nieprawidłowa konfiguracja aplikacji Touch Pal powoduje, że dane dotyczące zachowań użytkownika (np. interakcje z klawiaturą lub inne zdarzenia systemowe) mogą być gromadzone w sposób niejawny. Użytkownik nie jest informowany o tym procesie ani nie wyraża na niego zgody. Podatność dotyczy oprogramowania układowego (firmware) wybranych platform modemowych Qualcomm.
Atakujący lub nieuprawniona strona trzecia może uzyskać dostęp do danych o zachowaniu użytkownika, co stanowi poważne naruszenie prywatności i poufności. W zależności od zakresu zbieranych danych możliwe jest ujawnienie wrażliwych informacji osobistych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Qualcomm z maja 2018 roku (https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2018-bulletin.html). Zaleca się aktualizację oprogramowania układowego urządzeń opartych na podatnych platformach.
Qualcomm MDM9206 Firmware, Qualcomm MDM9607 Firmware, Qualcomm MDM9640 Firmware oraz odpowiadające im platformy sprzętowe (MDM9206, MDM9607). Szczegółowe wersje firmware wskazane w referencjach producenta.
Podatność została opublikowana w biuletynie bezpieczeństwa Qualcomm z maja 2018 roku, natomiast jej wpis w bazie CVE opublikowano dopiero w listopadzie 2024 roku. Klasyfikacja CWE wskazuje na błąd konfiguracyjny (CWE-16).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HQualcomm 215
HWQualcommwszystkie wersjeQualcomm 215 Firmware
OSQualcommwszystkie wersjeQualcomm Mdm9206
HWQualcommwszystkie wersjeQualcomm Mdm9206 Firmware
OSQualcommwszystkie wersjeQualcomm Mdm9607
HWQualcommwszystkie wersjeQualcomm Mdm9607 Firmware
OSQualcommwszystkie wersjeQualcomm Mdm9640
HWQualcommwszystkie wersjeQualcomm Mdm9640 Firmware
OSQualcommwszystkie wersjeQualcomm Mdm9650
HWQualcommwszystkie wersjeQualcomm Mdm9650 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 205
HWQualcommwszystkie wersjeQualcomm Sd 205 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 210
HWQualcommwszystkie wersjeQualcomm Sd 210 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 212
HWQualcommwszystkie wersjeQualcomm Sd 212 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 425
HWQualcommwszystkie wersjeQualcomm Sd 425 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 427
HWQualcommwszystkie wersjeQualcomm Sd 427 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 429
HWQualcommwszystkie wersjeQualcomm Sd 429 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 430
HWQualcommwszystkie wersjeQualcomm Sd 430 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 435
HWQualcommwszystkie wersjeQualcomm Sd 435 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 439
HWQualcommwszystkie wersjeQualcomm Sd 439 Firmware
OSQualcommwszystkie wersjeQualcomm Sd 450
HWQualcommwszystkie wersjeQualcomm Sd 450 Firmware
OSQualcommwszystkie wersje
Powiązane podatności
Qualcomm: Nieprawidłowy dostęp do pamięci przy dekodowaniu VP9 (sprzętowe)
Qualcomm SD 450/625/820 — odczyt poza granicami bufora w obsłudze ramek 802.11
Pominięcie uwierzytelnienia w sieciach LTE w modemach Qualcomm
Memory corruption w HLOS podczas obsługi PlayReady w chipsetach Qualcomm
Memory Corruption in Multi-mode Call Processor while processing bit mask API.