CRITICAL🇬🇧 English

CVE-2024-53932

Nieautoryzowane połączenia telefoniczne w aplikacji Color Phone dla Android

CVSS 9.1v3.1pub. 2025-01-06upd. 2026-04-15

Aplikacja Color Phone: Call Screen Theme na platformę Android umożliwia dowolnej innej aplikacji (bez żadnych uprawnień) inicjowanie połączeń telefonicznych bez wiedzy i interakcji użytkownika. Podatność jest krytyczna, ponieważ może prowadzić do nadużyć finansowych oraz naruszenia prywatności.

Pokaż oryginał (EN)

The com.remi.colorphone.callscreen.calltheme.callerscreen (aka Color Phone: Call Screen Theme) application through 21.1.9 for Android enables any application (with no permissions) to place phone calls without user interaction by sending a crafted intent via the com.remi.colorphone.callscreen.calltheme.callerscreen.dialer.DialerActivity component.

🤖 Analiza AI
Jak działa

Komponent com.remi.colorphone.callscreen.calltheme.callerscreen.dialer.DialerActivity jest nieprawidłowo skonfigurowany — jest dostępny dla zewnętrznych aplikacji bez wymogu jakichkolwiek uprawnień (CWE-732: niewłaściwe uprawnienia do zasobu; CWE-922: niezabezpieczone przechowywanie/eksponowanie wrażliwej funkcjonalności). Atakująca aplikacja może wysłać spreparowany intent do tego komponentu, co skutkuje automatycznym zainicjowaniem połączenia telefonicznego bez żadnej interakcji ze strony użytkownika.

Skutki

Atakujący (lub złośliwa aplikacja zainstalowana na urządzeniu) może inicjować połączenia telefoniczne na dowolne numery, w tym płatne numery premium, bez wiedzy i zgody właściciela urządzenia, co może prowadzić do strat finansowych oraz naruszenia prywatności.

Mitygacja

Należy zaktualizować aplikację Color Phone: Call Screen Theme do wersji wyższej niż 21.1.9, jeśli producent udostępnił poprawkę. W przypadku braku dostępnego patcha zaleca się odinstalowanie aplikacji. Szczegóły dostępne w referencjach producenta oraz w zgłoszeniu pod adresem wskazanym w referencjach CVE.

Kogo dotyczy

Aplikacja com.remi.colorphone.callscreen.calltheme.callerscreen (Color Phone: Call Screen Theme) w wersji do 21.1.9 włącznie na platformę Android

Uwagi

Szczegółowe informacje techniczne oraz kod proof-of-concept zostały opublikowane w repozytorium GitHub wskazanym w referencjach CVE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje