PT-2022-14458 · Google · Android
Publicado
2022-07-13
·
Atualizado
2022-07-26
·
CVE-2022-20234
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Android: Android-12L
Descrição
O problema ocorre no aplicativo Car Settings, onde a classe
NotificationAccessConfirmationActivity é exportada, permitindo que um aplicativo sem privilégios manipule mComponentName e pkgTitle para induzir os usuários a habilitar a permissão de acesso a notificações para um aplicativo malicioso. Os usuários podem acreditar que estão ativando essa permissão para um aplicativo inofensivo, como o aplicativo Configurações, mas, na realidade, estão concedendo-a ao aplicativo malicioso. Assim que o aplicativo malicioso obtém essa permissão, ele pode ler todas as notificações, incluindo informações pessoais.Recomendações
Para a versão Android-12L, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Android