CRITICAL✓ PATCH🇬🇧 English

CVE-2024-10018

Nieprawidłowa kontrola uprawnień w aplikacji AI Voice Assistant (Transsion)

CVSS 9.8v3.1pub. 2024-10-16upd. 2026-04-15

Błąd kontroli uprawnień w aplikacji mobilnej com.transsion.aivoiceassistant umożliwia nieautoryzowane uruchomienie dowolnego nieeksportowanego komponentu aplikacji. Podatność uzyskała ocenę krytyczną CVSS 9.8, co oznacza poważne zagrożenie dla urządzeń z zainstalowaną aplikacją.

Pokaż oryginał (EN)

Improper permission control in the mobile application (com.transsion.aivoiceassistant) can lead to the launch of any unexported component.

🤖 Analiza AI
Jak działa

Aplikacja com.transsion.aivoiceassistant nie stosuje właściwej kontroli uprawnień (CWE-732) przy obsłudze żądań uruchamiania komponentów systemowych. Atakujący, bez konieczności posiadania uprawnień ani interakcji użytkownika, może zdalnie wywołać nieeksportowane komponenty innych aplikacji, do których normalnie dostęp jest zabroniony. Nieeksportowane komponenty są z założenia chronione przed zewnętrznym dostępem, jednak błąd w logice uprawnień tej aplikacji pozwala ominąć te zabezpieczenia.

Skutki

Atakujący może uruchomić dowolny nieeksportowany komponent zainstalowanych aplikacji, co może prowadzić do nieautoryzowanego dostępu do danych, naruszenia integralności systemu oraz potencjalnego przejęcia kontroli nad funkcjami urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://security.tecno.com/SRC/securityUpdates?type=SA). Zaleca się regularne sprawdzanie aktualizacji bezpieczeństwa Transsion Security Response Center oraz niezwłoczne wgranie dostępnych poprawek.

Kogo dotyczy

Urządzenia mobilne z zainstalowaną aplikacją com.transsion.aivoiceassistant (AI Voice Assistant firmy Transsion); szczegółowe wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje