Podatność logiczna w aplikacji mobilnej com.transsion.applock pozwala atakującemu na ominięcie hasła chroniącego aplikacje na urządzeniu. Zagrożenie jest oceniane jako krytyczne (CVSS 9.8), co oznacza możliwość uzyskania pełnego dostępu do chronionych zasobów bez znajomości hasła.
▸ Pokaż oryginał (EN)
A logic vulnerability in the the mobile application (com.transsion.applock) can lead to bypassing the application password.
Błąd typu CWE-602 oznacza, że mechanizm weryfikacji hasła jest realizowany po stronie klienta (aplikacji mobilnej), a nie po stronie serwera lub w zaufanym środowisku. Atakujący może wykorzystać tę wadę logiczną, aby obejść weryfikację hasła bez jego znajomości. Skutkuje to brakiem rzeczywistej ochrony aplikacji zablokowanych przez AppLock.
Atakujący z fizycznym dostępem do urządzenia lub posiadający odpowiednie uprawnienia może uzyskać nieautoryzowany dostęp do aplikacji chronionych przez AppLock, omijając zabezpieczenie hasłem. Może to prowadzić do naruszenia poufności, integralności i dostępności danych przechowywanych w tych aplikacjach.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://security.tecno.com/SRC/securityUpdates
Aplikacja mobilna com.transsion.applock — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H