CVE-2022-36782

Pal Electronics Systems (versões afetadas não especificadas)

A vulnerabilidade consiste em um problema de autorização no aplicativo cliente Android de gerenciamento de dispositivos PalGate, que afeta portões de edifícios e estacionamentos controlados por um simples botão em qualquer smartphone. Um invasor pode vasculhar todos os dispositivos IoT para visualizar todas as entradas e saídas em todos os portões e dispositivos em todo o mundo. Ele também pode extrair dados do servidor para criar um banco de dados de usuários com nomes completos e números de telefone de mais de 2,8 milhões de usuários e rastrear os movimentos dos usuários ao entrar e sair dos portões, inclusive em tempo real. A API foi descoberta por meio de descompilação e pesquisa estática usando o Jadx, e análise dinâmica usando o Frida.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.