Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Android (CVE-2023-38300)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
22/04/2024
Última modificación:
03/07/2024

Descripción

Cierta compilación de software para el dispositivo Orbic Maui (Orbic/RC545L/RC545L:10/ORB545L_V1.4.2_BVZPP/230106:user/release-keys) filtra el IMEI y el ICCID a las propiedades del sistema a las que puede acceder cualquier aplicación local en el dispositivo sin ningún permiso o privilegio especial. Google restringió que las aplicaciones de terceros obtengan directamente identificadores de dispositivos no reiniciables en Android 10 y versiones posteriores, pero en este caso se filtran mediante un proceso de alto privilegio y se pueden obtener indirectamente. Esta aplicación maliciosa lee la propiedad del sistema "persist.sys.verizon_test_plan_imei" para obtener indirectamente el IMEI y lee la propiedad del sistema "persist.sys.verizon_test_plan_iccid" para obtener el ICCID.