Błąd kontroli uprawnień w aplikacji mobilnej com.transsion.aivoiceassistant umożliwia nieautoryzowane uruchomienie dowolnego nieeksportowanego komponentu aplikacji. Podatność uzyskała ocenę krytyczną CVSS 9.8, co oznacza poważne zagrożenie dla urządzeń z zainstalowaną aplikacją.
▸ Pokaż oryginał (EN)
Improper permission control in the mobile application (com.transsion.aivoiceassistant) can lead to the launch of any unexported component.
Aplikacja com.transsion.aivoiceassistant nie stosuje właściwej kontroli uprawnień (CWE-732) przy obsłudze żądań uruchamiania komponentów systemowych. Atakujący, bez konieczności posiadania uprawnień ani interakcji użytkownika, może zdalnie wywołać nieeksportowane komponenty innych aplikacji, do których normalnie dostęp jest zabroniony. Nieeksportowane komponenty są z założenia chronione przed zewnętrznym dostępem, jednak błąd w logice uprawnień tej aplikacji pozwala ominąć te zabezpieczenia.
Atakujący może uruchomić dowolny nieeksportowany komponent zainstalowanych aplikacji, co może prowadzić do nieautoryzowanego dostępu do danych, naruszenia integralności systemu oraz potencjalnego przejęcia kontroli nad funkcjami urządzenia.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://security.tecno.com/SRC/securityUpdates?type=SA). Zaleca się regularne sprawdzanie aktualizacji bezpieczeństwa Transsion Security Response Center oraz niezwłoczne wgranie dostępnych poprawek.
Urządzenia mobilne z zainstalowaną aplikacją com.transsion.aivoiceassistant (AI Voice Assistant firmy Transsion); szczegółowe wersje wskazane w referencjach producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H