CVE-2020-0114

Versões do Android: Android-10

Existe um possível problema de “confused deputy” devido a um erro no PendingIntent no método onCreateSliceProvider do arquivo KeyguardSliceProvider.java. Isso pode levar à escalada de privilégios local, permitindo que ações sejam executadas como a interface do usuário do sistema (System UI) sem a necessidade de privilégios de execução adicionais. Não é necessária a interação do usuário para a exploração.

Para a versão Android-10, considere restringir o acesso ao KeyguardSliceProvider até que uma correção esteja disponível. Como solução temporária, revise e limite o uso de PendingIntent para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.