PT-2022-11044 · Google · Android
Publicado
2022-03-30
·
Atualizado
2022-04-05
·
CVE-2021-39766
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Android: Android-12L
Descrição
O problema está relacionado à divulgação de informações por canal lateral no aplicativo “Configurações”, permitindo que um invasor determine se um aplicativo está instalado sem consultar as permissões. Isso pode levar à divulgação de informações locais sem a necessidade de privilégios de execução adicionais. Não é necessária a interação do usuário para a exploração.
Recomendações
Para a versão Android-12L, considere restringir o acesso a informações confidenciais nas Configurações para minimizar o risco de exploração. Como solução temporária, revise e ajuste as permissões de consulta de instalação de aplicativos para reduzir a possibilidade de divulgação de informações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Android