CRITICAL🇬🇧 English

CVE-2018-11922

Qualcomm Touch Pal – zbieranie danych o użytkowniku bez jego wiedzy

CVSS 9.8v3.1pub. 2024-11-26upd. 2025-01-09

Błędna konfiguracja aplikacji Touch Pal na urządzeniach Qualcomm umożliwia zbieranie danych o zachowaniu użytkownika bez jego wiedzy i zgody. Podatność uzyskała ocenę krytyczną CVSS 9.8, co wskazuje na możliwość zdalnego i nieautoryzowanego pozyskania wrażliwych informacji.

Pokaż oryginał (EN)

Wrong configuration in Touch Pal application can collect user behavior data without awareness by the user.

🤖 Analiza AI
Jak działa

Nieprawidłowa konfiguracja aplikacji Touch Pal powoduje, że dane dotyczące zachowań użytkownika (np. interakcje z klawiaturą lub inne zdarzenia systemowe) mogą być gromadzone w sposób niejawny. Użytkownik nie jest informowany o tym procesie ani nie wyraża na niego zgody. Podatność dotyczy oprogramowania układowego (firmware) wybranych platform modemowych Qualcomm.

Skutki

Atakujący lub nieuprawniona strona trzecia może uzyskać dostęp do danych o zachowaniu użytkownika, co stanowi poważne naruszenie prywatności i poufności. W zależności od zakresu zbieranych danych możliwe jest ujawnienie wrażliwych informacji osobistych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Qualcomm z maja 2018 roku (https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2018-bulletin.html). Zaleca się aktualizację oprogramowania układowego urządzeń opartych na podatnych platformach.

Kogo dotyczy

Qualcomm MDM9206 Firmware, Qualcomm MDM9607 Firmware, Qualcomm MDM9640 Firmware oraz odpowiadające im platformy sprzętowe (MDM9206, MDM9607). Szczegółowe wersje firmware wskazane w referencjach producenta.

Uwagi

Podatność została opublikowana w biuletynie bezpieczeństwa Qualcomm z maja 2018 roku, natomiast jej wpis w bazie CVE opublikowano dopiero w listopadzie 2024 roku. Klasyfikacja CWE wskazuje na błąd konfiguracyjny (CWE-16).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Qualcomm 215

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm 215 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Mdm9206

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Mdm9206 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Mdm9607

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Mdm9607 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Mdm9640

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Mdm9640 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Mdm9650

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Mdm9650 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 205

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 205 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 210

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 210 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 212

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 212 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 425

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 425 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 427

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 427 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 429

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 429 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 430

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 430 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 435

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 435 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 439

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 439 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 450

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Sd 450 Firmware

    OS
    Qualcomm
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2017-11076CRITICAL9.8PL ✓ten sam produkt

Qualcomm: Nieprawidłowy dostęp do pamięci przy dekodowaniu VP9 (sprzętowe)

CVE-2017-17772CRITICAL9.8PL ✓ten sam produkt

Qualcomm SD 450/625/820 — odczyt poza granicami bufora w obsłudze ramek 802.11

CVE-2023-43551CRITICAL9.1PL ✓ten sam produkt

Pominięcie uwierzytelnienia w sieciach LTE w modemach Qualcomm

CVE-2023-33030CRITICAL9.3PL ✓ten sam produkt

Memory corruption w HLOS podczas obsługi PlayReady w chipsetach Qualcomm

CVE-2023-22388CRITICAL9.8ten sam produkt

Memory Corruption in Multi-mode Call Processor while processing bit mask API.