CRITICAL🇬🇧 English

CVE-2024-10576

Infinix: niezabezpieczony broadcast receiver umożliwia reset do ustawień fabrycznych

CVSS 9.4v4.0pub. 2024-12-04upd. 2026-04-15

Urządzenia Infinix zawierają preinstalowaną aplikację 'com.transsion.agingfunction' z niezabezpieczonym broadcast receiverem, który może zostać wykorzystany przez dowolną aplikację lub skrypt bez żadnych uprawnień systemowych Android. Zagrożenie jest poważne, ponieważ skutkuje trwałą utratą wszystkich danych użytkownika na urządzeniu.

Pokaż oryginał (EN)

Infinix devices contain a pre-loaded "com.transsion.agingfunction" application, that exposes an unsecured broadcast receiver. An attacker can communicate with the receiver and force the device to perform a factory reset without any Android system permissions.  After multiple attempts to contact the vendor we did not receive any answer. We suppose this issue affects all Infinix Mobile devices.

🤖 Analiza AI
Jak działa

Aplikacja 'com.transsion.agingfunction' preinstalowana na urządzeniach Infinix rejestruje broadcast receiver, który nie wymaga żadnych uprawnień (ani systemowych, ani zadeklarowanych przez wywołującego) do obsługi przychodzących broadcastów. Atakujący może wysłać odpowiednio spreparowany intent do tego receivera z poziomu lokalnego — np. poprzez złośliwą aplikację zainstalowaną na urządzeniu lub inny wektor lokalny — bez konieczności posiadania jakichkolwiek uprawnień systemu Android. Receiver w odpowiedzi na taki broadcast inicjuje procedurę przywrócenia ustawień fabrycznych urządzenia. Luka sklasyfikowana jest jako CWE-925, czyli nieprawidłowa weryfikacja intent broadcast po stronie odbiorcy.

Skutki

Atakujący może zdalnie (z poziomu lokalnego procesu) wymusić reset urządzenia do ustawień fabrycznych, co skutkuje trwałym i nieodwracalnym usunięciem wszystkich danych użytkownika, aplikacji oraz konfiguracji. Może to być wykorzystane do destrukcji danych lub jako element sabotażu urządzenia.

Mitygacja

Producent (Infinix / Transsion) nie odpowiedział na wielokrotne próby kontaktu ze strony badaczy, w związku z czym brak oficjalnego patcha. Zaleca się unikanie instalowania niezaufanych aplikacji na urządzeniach Infinix oraz monitorowanie aktywności broadcastów. Należy śledzić komunikaty producenta oraz referencje CERT Polska pod adresem https://cert.pl/en/posts/2024/12/CVE-2024-10576/ w celu uzyskania aktualizacji dotyczących dostępności poprawki.

Kogo dotyczy

Zgodnie z informacją badaczy, problem prawdopodobnie dotyczy wszystkich urządzeń mobilnych Infinix (producent: Transsion), na których preinstalowana jest aplikacja 'com.transsion.agingfunction'. Dokładna lista modeli i wersji firmware nie została opublikowana przez producenta.

Uwagi

Podatność została odkryta i zgłoszona przez CERT Polska. Badacze podjęli wielokrotne próby kontaktu z producentem (Infinix / Transsion), jednak nie uzyskali żadnej odpowiedzi. CVE zostało opublikowane 2024-12-04 wraz z pełnym opisem technicznym na stronie CERT Polska.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:X/R:I/V:D/RE:X/U:Amber
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje