PT-2021-6395 · Google · Aosp Sms/Mms
Chris Talbot
·
Publicado
2021-06-21
·
Atualizado
2024-08-03
·
CVE-2022-23835
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Aplicativo Visual Voice Mail (VVM) até 24/02/2022 para Android
Descrição
O problema está relacionado à proteção insuficiente dos dados de serviço no aplicativo Visual Voice Mail (VVM) para Android. Um invasor pode explorar essa vulnerabilidade controlando temporariamente um aplicativo com a permissão READ SMS e lendo uma mensagem de credenciais IMAP não exibida à vítima dentro do aplicativo de mensagens SMS/MMS do AOSP. Isso pode permitir que o invasor obtenha acesso não autorizado a informações protegidas, incluindo a escuta de mensagens de correio de voz enviadas antes e depois da exploração.
Recomendações
Para o aplicativo Visual Voice Mail (VVM) até 24/02/2022 para Android, considere desativar o acesso do aplicativo à permissão READ SMS como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso à mensagem de credenciais IMAP para minimizar o risco de exploração. Evite usar aplicativos com a permissão READ SMS para impedir que possíveis invasores interceptem credenciais IMAP do VVM enviadas em texto simples via SMS.
Exploit
Correção
Information Disclosure
Exposure of Resource to Wrong Sphere
Missing Encryption of Sensitive Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Aosp Sms/Mms