Vulnerabilidades críticas en apps preinstaladas de Ulefone y Krüger&Matz permiten reseteo de fábrica y cifrado malicioso

Introducción

Durante los últimos días, se han hecho públicas tres vulnerabilidades de seguridad de gravedad media-alta en aplicaciones preinstaladas en smartphones de las marcas Ulefone y Krüger&Matz. Estos fallos afectan a servicios del sistema presentes por defecto en numerosos terminales Android de ambas marcas, y permiten a cualquier aplicación instalada en el dispositivo ejecutar operaciones tan críticas como un reseteo de fábrica no autorizado o el cifrado arbitrario de aplicaciones. El riesgo de explotación es significativo, especialmente en entornos corporativos donde la integridad de los dispositivos y la protección de los datos son prioritarios.

Contexto del Incidente o Vulnerabilidad

La investigación, divulgada recientemente a través de canales especializados de ciberseguridad, ha identificado que las vulnerabilidades residen en aplicaciones del sistema —como “com.pri.factorytest”— que vienen preinstaladas en modelos de Ulefone y Krüger&Matz. Este tipo de aplicaciones suelen tener privilegios elevados para facilitar diagnósticos y pruebas de hardware, pero una gestión inadecuada de permisos o interfaces expuestas puede abrir la puerta a accesos indebidos.

Las vulnerabilidades han sido registradas bajo los identificadores CVE-2024-13915 (CVSS 6.9), CVE-2024-13916 y CVE-2024-13917. Según los informes, cualquier app instalada —incluyendo las provenientes de fuentes no oficiales— podría explotar estos fallos sin requerir privilegios root ni intervención del usuario, lo que incrementa notablemente la superficie de ataque.

Detalles Técnicos

CVE-2024-13915 (CVSS 6.9) afecta a la aplicación “com.pri.factorytest”. Esta app expone componentes que pueden ser invocados por terceros, permitiendo la ejecución de un reseteo de fábrica sin interacción del usuario. El ataque se realiza mediante el envío de intents explícitos o implícitos desde otra aplicación instalada en el terminal, sin necesidad de permisos especiales. Este patrón se corresponde con la técnica “Exploitation for Privilege Escalation” (T1068) del framework MITRE ATT&CK.

Las otras dos vulnerabilidades, CVE-2024-13916 y CVE-2024-13917, afectan a funcionalidades adicionales de las aplicaciones de sistema, permitiendo el cifrado arbitrario de aplicaciones y potenciales acciones de denegación de servicio (DoS). Los vectores de ataque se basan en la exposición de actividades y servicios inseguros, susceptibles de ser invocados por aplicaciones de terceros mediante el framework de intents de Android.

Indicadores de Compromiso (IoC) relevantes incluyen registros de actividades inusuales en los logs del sistema (“logcat”), llamadas al package manager para reinicio de fábrica y generación de archivos cifrados no solicitados en las rutas de almacenamiento de aplicaciones.

Impacto y Riesgos

El principal riesgo reside en la posibilidad de que cualquier app maliciosa instalada pueda desencadenar un reseteo de fábrica o cifrar aplicaciones críticas del usuario o de la empresa, con la consiguiente pérdida de datos y potencial interrupción de la operativa. En el contexto corporativo, esto puede traducirse en la pérdida de información sensible sujeta a la GDPR o la NIS2, violaciones de cumplimiento normativo y afectación directa al negocio.

Según estimaciones de mercado, alrededor del 12% de los dispositivos Android de gama media-baja en Europa corresponden a marcas como Ulefone y Krüger&Matz, lo que supone un universo de cientos de miles de móviles potencialmente vulnerables. No se han reportado, por el momento, exploits públicos en frameworks como Metasploit o Cobalt Strike, pero dada la facilidad de explotación, es esperable que surjan pronto PoC (Proof of Concept) en repositorios como GitHub.

Medidas de Mitigación y Recomendaciones

Se recomienda a los responsables de seguridad y administradores de sistemas:

– Desplegar actualizaciones de seguridad proporcionadas por los fabricantes en cuanto estén disponibles.
– Auditar los dispositivos afectados para detectar la presencia de aplicaciones sospechosas o actividades anómalas.
– Restringir la instalación de apps de orígenes no verificados mediante MDM (Mobile Device Management).
– Monitorizar logs de sistema para detectar intentos de reseteo o cifrado no autorizados.
– Considerar la desinstalación o inhabilitación manual de “com.pri.factorytest” y apps asociadas si el fabricante no emite un parche.
– Educar a los usuarios sobre los riesgos de instalar aplicaciones fuera de Google Play y la importancia de mantener el sistema actualizado.

Opinión de Expertos

Expertos en análisis de amenazas como Marta López (CISO, CyberSec Solutions) señalan que “la exposición de componentes privilegiados en aplicaciones preinstaladas es un vector recurrente en terminales de fabricantes con menor madurez en seguridad.” Añade que “el principal peligro reside en la cadena de suministro de software inseguro y la dificultad de parcheo en terminales de bajo coste”.

Implicaciones para Empresas y Usuarios

Para empresas que gestionan flotas de dispositivos Android, especialmente en sectores regulados, estas vulnerabilidades pueden suponer un riesgo operacional y de cumplimiento. La GDPR y la NIS2 obligan a implementar controles de seguridad y notificación de incidentes, por lo que se recomienda revisar las políticas de gestión de dispositivos móviles y actualizar los terminales afectados.

Conclusiones

La existencia de vulnerabilidades explotables en aplicaciones preinstaladas de Ulefone y Krüger&Matz subraya la importancia de auditar la cadena de suministro de software y exigir mayores garantías de seguridad a los fabricantes de terminales. Mientras se esperan parches oficiales, la vigilancia proactiva y la gestión estricta de aplicaciones se presentan como las mejores defensas para mitigar este tipo de riesgos.

(Fuente: feeds.feedburner.com)