预装Android应用程序存在三个高危漏洞

波兰CERT于2025年5月30日披露，Ulefone和krüger&matz安卓手机预装应用存在三个高危漏洞（CVE-2024-13915至13917），根源均为组件不当导出（CWE-926）。其中CVE-2024-13915因服务导出配置错误，允许任意应用无需权限触发设备恢复出厂设置。CVE-2024-13916通过暴露的内容提供程序，使恶意应用可无权限窃取用户PIN码；CVE-2024-13917则利用暴露的Activity，支持攻击者向受保护应用注入系统级特权命令，结合窃取的PIN或诱导用户授权可完全绕过锁屏防护。