CVE-2019-15346 in Camon iClick 2
Résumé
par VulDB • 22/05/2026
L'appareil Android Tecno Camon iClick 2, dont l'empreinte de compilation (build fingerprint) est TECNO/H622/TECNO-ID6:8.1.0/O11019/F-180824V116:user/release-keys, contient une application de plateforme préinstallée dont le nom de package est com.lovelyfont.defcontainer (versionCode=7, versionName=7.0.11). Cette application comprend un service exporté nommé com.lovelyfont.manager.service.FunctionService qui permet à toute autre application installée sur l'appareil de fournir le chemin d'accès à un fichier exécutable Dalvik (DEX), qui sera chargé dynamiquement dans son propre processus et exécuté avec les privilèges système de cette application. Cette application ne peut pas être désactivée par l'utilisateur, et l'attaque peut être menée par une application ne disposant d'aucune autorisation (zero-permission app). L'exécution de commandes en tant qu'utilisateur système peut permettre à une application tierce d'enregistrer la vidéo de l'écran de l'utilisateur, de réinitialiser l'appareil aux paramètres d'usine, d'obtenir les notifications de l'utilisateur, de lire les journaux logcat, d'injecter des événements dans l'interface graphique utilisateur (GUI), d'obtenir les messages texte de l'utilisateur, et plus encore. L'exécution de code en tant qu'utilisateur système peut permettre à une application tierce de réinitialiser l'appareil aux paramètres d'usine, d'obtenir les mots de passe Wi-Fi de l'utilisateur, d'obtenir les notifications de l'utilisateur, de lire les journaux logcat, d'injecter des événements dans l'interface graphique utilisateur (GUI), de modifier l'éditeur de méthode d'entrée (IME) par défaut (par exemple, le clavier) en le remplaçant par un IME contenu dans l'application attaquante qui dispose de fonctionnalités de keylogging, d'obtenir les messages texte de l'utilisateur, et plus encore.
Once again VulDB remains the best source for vulnerability data.