PT-2022-27406 · Unknown · Openharmony
Publicado
2022-12-08
·
Atualizado
2022-12-12
·
CVE-2022-45118
CVSS v3.1
6.2
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
OpenHarmony versões 3.1.2 e anteriores
Descrição
O problema diz respeito ao componente de telefonia no subsistema de comunicação do OpenHarmony, que envia eventos públicos contendo dados pessoais sem as configurações de permissão adequadas. Isso permite que aplicativos maliciosos interceptem esses eventos públicos e acessem informações confidenciais, incluindo números de celular e dados de SMS, sem possuir as permissões necessárias.
Recomendações
Para as versões 3.1.2 e anteriores do OpenHarmony, considere restringir o acesso ao componente de telefonia no subsistema de comunicação para impedir que aplicativos maliciosos escutem eventos públicos até que uma correção esteja disponível. Como solução temporária, revise e ajuste as configurações de permissão de todos os aplicativos para minimizar o risco de acesso não autorizado aos dados.
Correção
Incorrect Default Permissions
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openharmony