CVE-2016-10138 in Advance
요약
\~에 의해 VulDB • 2026. 05. 30.
Shanghai Adups 소프트웨어가 탑재된 BLU Advance 5.0 및 BLU R1 HD 기기에서 문제가 발견되었습니다. com.adups.fota.sysoper 앱은 시스템 앱으로 설치되며 사용자가 비활성화할 수 없습니다. com.adups.fota.sysoper 앱의 AndroidManifest.xml 파일에서 android:sharedUserId 속성이 android.uid.system 값으로 설정되어 있어 시스템 사용자 권한으로 실행되는데, 이는 기기에서 매우 높은 권한을 가진 사용자입니다. 이 앱은 com.adups.fota.sysoper.WriteCommandReceiver라는 이름의 내보낸 브로드캐스트 리시버를 가지고 있어 기기의 모든 앱과 상호작용할 수 있습니다. 따라서 모든 앱은 WriteCommandReceiver 컴포넌트(시스템 사용자 권한으로 실행 중)가 실행할 수 있는 인텐트에 명령을 포함하여 보낼 수 있습니다. WriteCommandReceiver를 활용하는 서드파티 앱은 다음과 같은 작업을 수행할 수 있습니다: 전화번호 호출, 기기 공장 초기화, 화면 캡처, 화면 녹화, 애플리케이션 설치, 이벤트 주입, Android 로그 획득 등. 또한 com.adups.fota.sysoper.TaskService 컴포넌트는 http://rebootv5.adsunflower.com/ps/fetch.do URL로 요청을 보내며, 서버가 반환하는 JSON 객체 내 sf 키를 가진 문자열 배열에 포함된 명령이 시스템 사용자 권한으로 실행됩니다. 연결이 HTTP를 통해 이루어지므로 MITM 공격에 취약합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.