CVE-2016-10136 in R1 HD
요약
\~에 의해 VulDB • 2026. 06. 12.
Shanghai Adups 소프트웨어가 탑재된 BLU R1 HD 기기에서 취약점이 발견되었습니다. 패키지 이름이 com.adups.fota.sysoper인 앱에 포함된 com.adups.fota.sysoper.provider.InfoProvider라는 콘텐츠 제공자는 기기의 모든 앱이 시스템 사용자로 권한을 가지고 파일을 읽기, 쓰기 및 삭제할 수 있게 합니다. com.adups.fota.sysoper 앱의 AndroidManifest.xml 파일에서는 android:sharedUserId 속성이 android.uid.system 값으로 설정되어 있어, 기기에서 매우 높은 권한을 가진 시스템 사용자로 실행됩니다. 이로 인해 서드파티 앱이 시스템 사용자가 소유한 파일을 읽기, 쓰기 및 삭제할 수 있습니다. 서드파티 앱은 /data/system/users/0/settings_secure.xml 파일을 수정하여 알림 수신자가 되는 앱을 추가함으로써 기기에서 알림이 수신될 때 그 텍스트를 받을 수 있습니다. 또한 이 취약점을 통해 /data/system/users/0/accounts.db 파일을 읽을 수 있으며, 이 파일에는 기기 내 다양한 계정의 인증 토큰이 포함되어 있습니다. 서드파티 앱은 기밀 정보를 획득할 수 있을 뿐만 아니라, 파일을 수정하여 기기에서 더 높은 권한을 획득할 수도 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.