Aplikacja com.glitter.caller.screen (iCaller, Caller Theme & Dialer) w wersji do 1.1 dla Android umożliwia dowolnej innej aplikacji (bez żadnych uprawnień) wykonywanie połączeń telefonicznych bez wiedzy i zgody użytkownika. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień po stronie atakującej aplikacji ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
The com.glitter.caller.screen (aka iCaller, Caller Theme & Dialer) application through 1.1 for Android enables any application (with no permissions) to place phone calls without user interaction by sending a crafted intent via the com.glitter.caller.screen.DialerActivity component.
Komponent com.glitter.caller.screen.DialerActivity jest nieprawidłowo eksponowany (CWE-732 — zbyt szerokie uprawnienia do zasobu) i nie posiada odpowiedniej ochrony przed nieautoryzowanym dostępem (CWE-922 — przechowywanie wrażliwych informacji w zasobie dostępnym publicznie). Dowolna aplikacja zainstalowana na urządzeniu może wysłać odpowiednio spreparowany intent do tego komponentu, inicjując połączenie telefoniczne bez żadnej interakcji użytkownika ani wymaganych normalnie uprawnień systemowych (takich jak CALL_PHONE).
Atakująca aplikacja może w ukryty sposób inicjować kosztowne połączenia telefoniczne (np. na numery premium) lub połączenia z dowolnymi numerami bez wiedzy ofiary, generując straty finansowe oraz naruszając prywatność użytkownika.
Należy odinstalować aplikację lub zastosować patche dostępne u producenta zgodnie z referencjami. Użytkownicy powinni sprawdzić dostępność zaktualizowanej wersji w sklepie z aplikacjami. Administratorzy MDM powinni rozważyć zablokowanie instalacji tej aplikacji na urządzeniach firmowych.
Aplikacja com.glitter.caller.screen (iCaller, Caller Theme & Dialer) w wersji do 1.1 włącznie na platformie Android.
Szczegóły techniczne oraz proof-of-concept dostępne są w repozytorium GitHub badacza: https://github.com/actuator/com.glitter.caller.screen/blob/main/CVE-2024-53931
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N