Vulnerabilidades en aplicaciones precargadas en Ulefone y Krüger & Matz Smartphones

Vulnerabilities in Ulefone and Krüger & Matz Smartphones

On May 30, 2025, CERT Polska disclosed vulnerabilities found in pre-installed applications on smartphones manufactured by Ulefone and Krüger & Matz. The vulnerabilities are outlined under three distinct Common Vulnerabilities and Exposures (CVE) identifiers.

CVE-2024-13915

Affected Product: com.pri.factorytest
Vendor: Ulefone and Krüger & Matz
Vulnerable Version: All of version 1.0
Type of Vulnerability: Incorrect export of Android application components (CWE-926)
Source of Report: CERT Polska

The vulnerability in com.pri.factorytest is tied to a factory test application preloaded on devices during manufacturing. The application exposes a service (com.Pri.FactoryTest.Emmc.FactoryResService) that allows any app to perform a factory reset on the device without proper authorization. The update did not increment the version of the APK, leaving other builds released after December 2024 (Ulefone) and potentially in March 2025 (Krüger & Matz) vulnerable as well, though the latter’s timeline was not confirmed.

CVE-2024-13916

Affected Product: com.pri.applock
Vendor: Krüger & Matz
Vulnerable Version: 13
Type of Vulnerability: Exposure of sensitive system information to an unauthorized control sphere (CWE-497)
Source of Report: CERT Polska

The com.pri.applock application pre-installed on Krüger & Matz smartphones allows users to encrypt any application using a user-defined PIN or biometric data. However, it exposes a public method in the content provider (com.android.providers.settings.fingerprint.prifpshareprovider), which lets malicious applications exfiltrate the user’s PIN without requiring any granted system permissions. The only version examined (version 13, code version 33) is confirmed to possess this vulnerability.

CVE-2024-13917

Affected Product: com.pri.applock
Vendor: Krüger & Matz
Vulnerable Version: 13
Type of Vulnerability: Incorrect export of Android application components (CWE-926)
Source of Report: CERT Polska

Similar to CVE-2024-13916, this vulnerability in the com.pri.applock application allows malicious apps to inject arbitrary intents with system-level privileges into a protected application. To exploit this, the attacker would need to know the user’s PIN (which may be obtained via CVE-2024-13916) or prompt the user for it. Again, the tested version (version 13, code version 33) confirmed the presence of this vulnerability.

Summary

CERT Polska’s findings underscore critical vulnerabilities in the applications bundled with Ulefone and Krüger & Matz smartphones that could compromise user security. The first vulnerability (CVE-2024-13915) enables potential unauthorized factory resets of devices, while the latter two (CVE-2024-13916 and CVE-2024-13917) allow for exploitation of sensitive data (like PINs) and system-level access to apps.

These vulnerabilities highlight the importance of prompt software updates and security assessments in mobile application development and distribution. It is critical for users of affected devices to remain vigilant and ensure their apps are kept up-to-date to mitigate these risks.

Acknowledgment

Thanks to Szymon Chadam for the responsible vulnerability report. More information on the coordinated vulnerability disclosure process can be found at CERT Polska’s website: CERT Polska.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Las víctimas de ransomware australianas ahora deben decirle al gobierno si pagan

Australia ha marcado un hito al convertirse en el primer país del mundo en legislar que las víctimas de ataques de ransomware deben informar al

...
Más detalle de la noticia

Seguridad: divulgación de información local en Apport y Systemd -Coredump

Summary of Qualys Security Advisory on Local Information Disclosure Vulnerabilities Overview Qualys has identified two vulnerabilities in core-dump handlers used in Linux distributions, specifically apport

...
Más detalle de la noticia

Militar del Reino Unido para establecer un nuevo mando cibernético y electromagnético

El Reino Unido ha anunciado la creación de un nuevo comando militar dedicado a la guerra digital y electrónica, en respuesta a la rigurosa revisión

...
Más detalle de la noticia

HPE Security Advisory (AV25-303) – Centro canadiense de seguridad cibernética

Resumen del Aviso de Seguridad de HPE – 30 de mayo de 2025 El 30 de mayo de 2025, HPE emitió un aviso de seguridad

...
Más detalle de la noticia

Vulnerabilidades en aplicaciones precargadas en Ulefone y Krüger & Matz Smartphones

Vulnerabilities in Ulefone and Krüger & Matz Smartphones On May 30, 2025, CERT Polska disclosed vulnerabilities found in pre-installed applications on smartphones manufactured by Ulefone

...
Más detalle de la noticia

Vulnerabilidades múltiples en el núcleo de Linux de Debian LTS

Se han identificado varias vulnerabilidades en el núcleo de Linux de Debian LTS que pueden tener graves implicaciones para la seguridad del sistema. Estas vulnerabilidades

...
Más detalle de la noticia

Carta semanal de CERT-SE V.22-CERT-SE

Resumen de la Carta Semanal (30 de mayo de 2025) La semana ha estado marcada por importantes desarrollos en la ciberseguridad, así como el lanzamiento

...
Más detalle de la noticia

Alerta de seguridad (A25-05-20): vulnerabilidad en Apache Tomcat

Resumen de Actualización de Seguridad de Apache Tomcat La Apache Software Foundation ha lanzado actualizaciones de seguridad para resolver una vulnerabilidad crítica en Apache Tomcat,

...
Más detalle de la noticia

Revisión semanal del Centro Nacional de Seguridad Cibernética Finlandia (NCSC -FI) – 21/2025

El 18 de junio de 2025, el Centro Nacional de Coordinación de Finlandia (NCSC-Fi) llevará a cabo un seminario web público centrado en las oportunidades

...
Más detalle de la noticia

NVD-CVE-2025-3913

CVE-2025-3913 Detalle Recepción Este registro CVE ha sido recientemente publicado y forma parte del conjunto de datos NVD (National Vulnerability Database). Descripción Se ha identificado

...
Más detalle de la noticia

Lumma Infenteser – ¿Abajo pero no fuera?

Resumen de los Hallazgos Clave sobre la Operación contra Lumma El 21 de mayo de 2025, una operación coordinada por Europol, el FBI y Microsoft,

...
Más detalle de la noticia

Vulnerabilidades múltiples de Microsoft Edge

Se han identificado varias vulnerabilidades en Microsoft Edge, el navegador web de Microsoft. Estas vulnerabilidades, si son aprovechadas por un atacante remoto, pueden tener graves

...
Más detalle de la noticia

Panel de incendio CS5000 de seguridad consilium CS5000

Resumen Ejecutivo La vulnerabilidad del Panel de fuego CS5000 de Consilium Safety ha sido clasificada con una puntuación CVSS V4 de 9.3, indicando un riesgo

...
Más detalle de la noticia

Seguridad-Re: ISC ha revelado tres vulnerabilidades en KEA (CVE-2025-32801, CVE-2025-32802, CVE-2025-32803)

Summary of Security Vulnerabilities in Kea DHCP Server Suite On May 28, 2025, Matthias Gerstner reported significant vulnerabilities in the Kea DHCP server suite, primarily

...
Más detalle de la noticia

Novedosos dispositivos de vigilancia de IoT para botnet

Resumen de la Botnet Pumabot Enfocada en Dispositivos IoT Introducción DarkTrace ha identificado una botnet llamada "Pumabot", diseñada con el lenguaje Go y enfocada en

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita