Vulnerabilidades en apps preinstaladas de Ulefone y Krüger&Matz permiten reseteo de fábrica y cifrado malicioso

Introducción

Durante los últimos días, se han hecho públicas tres vulnerabilidades de seguridad que afectan a aplicaciones preinstaladas en dispositivos Android de los fabricantes Ulefone y Krüger&Matz. Estas debilidades, documentadas bajo los identificadores CVE-2024-13915, CVE-2024-13916 y CVE-2024-13917, permiten a cualquier aplicación instalada en el dispositivo ejecutar un reseteo a valores de fábrica o cifrar aplicaciones, sin requerir privilegios elevados ni interacción del usuario. Esta clase de fallos tiene un impacto potencialmente crítico en la seguridad y privacidad de los usuarios, y representa una advertencia directa para los responsables de seguridad en entornos empresariales que gestionan flotas de dispositivos Android.

Contexto del Incidente o Vulnerabilidad

Los terminales de Ulefone y Krüger&Matz, orientados a consumidores y empresas que buscan dispositivos robustos y asequibles, incorporan aplicaciones de sistema desarrolladas por terceros, como «com.pri.factorytest». Estas apps preinstaladas, muchas veces con permisos elevados y escasa revisión de seguridad, han sido señaladas repetidamente como vectores de ataque por la comunidad de ciberseguridad.

El descubrimiento de estas vulnerabilidades pone de relieve un problema recurrente: la cadena de suministro de software en dispositivos Android, especialmente en fabricantes menos auditados, sigue siendo una fuente notable de riesgos asociados a apps de sistema con permisos innecesarios y sin mecanismos sólidos de control de acceso.

Detalles Técnicos

Las vulnerabilidades afectan al componente «com.pri.factorytest», presente en modelos recientes de Ulefone y Krüger&Matz. A continuación se detallan los fallos identificados:

– CVE-2024-13915 (CVSS: 6.9): Permite a cualquier aplicación instalada en el terminal invocar una funcionalidad de reseteo de fábrica, explotando un fallo en la validación de permisos de la app «com.pri.factorytest». El ataque puede realizarse mediante Intents maliciosos, sin requerir privilegios root ni interacción del usuario.
– CVE-2024-13916: Expone un endpoint interno que posibilita cifrar aplicaciones arbitrarias del sistema, potencialmente inutilizándolas o impidiendo su acceso hasta que se proporcione una clave específica.
– CVE-2024-13917: Permite a aplicaciones de terceros acceder a funcionalidades de depuración y diagnóstico, abriendo la puerta a la recolección de información sensible o la manipulación de configuraciones críticas.

Los TTPs asociados se alinean con técnicas MITRE ATT&CK como «Abuse Elevation Control Mechanism» (T1548) y «Impair Defenses: Disable or Modify Tools» (T1562). No se requiere explotación de vulnerabilidades de escalada de privilegios; el simple acceso a los endpoints internos de las apps es suficiente para ejecutar los ataques. Se han documentado PoCs y exploits funcionales en Github y foros especializados, aunque por el momento no se han observado campañas masivas que utilicen estos vectores.

Impacto y Riesgos

El impacto principal reside en la posibilidad de que cualquier app maliciosa instalada, incluso aquellas que eludan los controles de Google Play Protect, pueda:

– Forzar el reseteo de fábrica del dispositivo, resultando en pérdida de datos, interrupción operativa y potencial incumplimiento de políticas de retención (GDPR, NIS2).
– Cifrar aplicaciones críticas, generando denegación de servicio parcial o total.
– Acceder a información sensible de diagnóstico o modificar configuraciones de seguridad.

En entornos empresariales con dispositivos Android gestionados (MDM), estos riesgos pueden escalar rápidamente, comprometiendo la continuidad de negocio y la privacidad de los datos corporativos o personales.

Medidas de Mitigación y Recomendaciones

A la fecha, Ulefone y Krüger&Matz no han publicado parches oficiales para estos fallos. Se recomienda:

– Monitorizar la actividad de apps instaladas y restringir la instalación de software no verificado.
– Implementar soluciones EDR y MDM que permitan el bloqueo o desinstalación de aplicaciones preinstaladas no esenciales.
– Auditar y, en la medida de lo posible, eliminar apps de sistema innecesarias mediante herramientas como ADB.
– Mantener informado al personal sobre los riesgos de instalar apps de procedencia dudosa.
– Aplicar segmentación de red y limitar los permisos de dispositivos BYOD.

Opinión de Expertos

Expertos de empresas de análisis de amenazas como Kaspersky y Trend Micro han advertido que la proliferación de apps preinstaladas vulnerables es una tendencia al alza, especialmente entre fabricantes de gama media-baja. Señalan que la falta de revisión de código y la delegación de funciones críticas a desarrolladores externos aumentan la superficie de ataque y dificultan la detección temprana.

Implicaciones para Empresas y Usuarios

Para organizaciones sujetas a normativas como GDPR o la próxima directiva NIS2, este tipo de vulnerabilidades puede derivar en sanciones económicas significativas y daño reputacional en caso de incidente. Los CISOs y responsables de seguridad deben priorizar la gestión de la cadena de suministro de dispositivos y reforzar los controles sobre el software preinstalado.

Conclusiones

Este incidente subraya la necesidad urgente de auditar y controlar las aplicaciones de sistema en dispositivos Android, especialmente en entornos corporativos. La colaboración entre fabricantes, desarrolladores y profesionales de ciberseguridad es clave para reducir riesgos y proteger datos críticos ante amenazas que, como en este caso, pueden ser explotadas sin privilegios elevados ni técnicas avanzadas.

(Fuente: feeds.feedburner.com)