CVE-2019-15341 in Camon iAir 2 Plusinformação

Sumário

de VulDB • 07/07/2026

O dispositivo Android Tecno Camon iAir 2 Plus com a impressão digital de compilação TECNO/H622/TECNO-ID3k:8.1.0/O11019/E-180914V83:user/release-keys contém um aplicativo da plataforma pré-instalado com o nome do pacote com.lovelyfont.defcontainer (versionCode=7, versionName=7.0.11). Este aplicativo possui um serviço exportado chamado com.lovelyfont.manager.service.FunctionService que permite a qualquer aplicativo co-localizado no dispositivo fornecer o caminho de arquivo para um arquivo Executável Dalvik (DEX), o qual será carregado dinamicamente dentro do seu próprio processo e executado com os privilégios de sistema desse processo. Este aplicativo não pode ser desabilitado pelo usuário, e o ataque pode ser realizado por um aplicativo sem permissões (zero-permission). A execução de comandos como o usuário system permite que um aplicativo de terceiros grave em vídeo a tela do usuário, realize uma restauração de fábrica no dispositivo, obtenha as notificações do usuário, leia os logs logcat, injete eventos na Interface Gráfica do Usuário (GUI) e obtenha as mensagens de texto do usuário, entre outras ações. A execução de código como o usuário system permite que um aplicativo de terceiros realize uma restauração de fábrica no dispositivo, obtenha as senhas Wi-Fi do usuário, obtenha as notificações do usuário, leia os logs logcat, injete eventos na GUI, altere o Editor de Método de Entrada (IME) padrão (por exemplo, teclado) por aquele contido no aplicativo atacante que possui funcionalidade de keylogging e obtenha as mensagens de texto do usuário, entre outras ações.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Reservar

22/08/2019

Moderação

aceite

Entrada

VDB-145644

CPE

pronto

EPSS

0.00332

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!