漏洞标题
N/A
漏洞描述信息
在 Shanghai Adups 软件下的 BLU R1 HD 设备上发现了一个问题。该应用程序中的名为 com.adups.fota.sysoper.provider.InfoProvider 的内容提供者允许设备上的任何应用程序以系统用户身份读取、写入和删除文件。在 com.adups.fota.sysoper 应用程序的 AndroidManifest.xml 文件中,它设置了 android:sharedUserId 属性为 android.uid.system,使其执行As the system user, which is a very privileged user on the device。这使得第三方应用程序能够读取、写入和删除用户发送和接收的文本短信和通话记录。这使得第三方应用程序在没有允许的情况下从用户获取 PII。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered on BLU R1 HD devices with Shanghai Adups software. The content provider named com.adups.fota.sysoper.provider.InfoProvider in the app with a package name of com.adups.fota.sysoper allows any app on the device to read, write, and delete files as the system user. In the com.adups.fota.sysoper app's AndroidManifest.xml file, it sets the android:sharedUserId attribute to a value of android.uid.system which makes it execute as the system user, which is a very privileged user on the device. This allows a third-party app to read, write, and delete the user's sent and received text messages and call log. This allows a third-party app to obtain PII from the user without permission to do so.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
BLU R1 HD Adups Fota 加密问题漏洞
漏洞描述信息
BLU R1 HD是美国BLU公司的一款智能手机。Adups Fota是其中的一款中国广升(Adups)公司的用于移动设备的基于云的系统升级推送软件。 BLU R1 HD设备存在安全漏洞。攻击者可利用该漏洞读取,编写和删除用户发送和接收的短信及通话记录,并获取用户PII。
CVSS信息
N/A
漏洞类别
加密问题