nvd
Vivo
Уязвимости
11
Эксплуатируемые
0
Критический
1
Высокий
2
Топ продуктов
Топ уязвимостей
CVE-2021-26277Служба framework неправильно обрабатывает pendingIntent, позволяя вредоносным приложениям с определенными привилегиями выполнять привилегированные действия.
CVE-2017-17463Модемы Vivo позволяют удаленным злоумышленникам получить конфиденциальную информацию, прочитав исходный код HTML index.cgi?page=wifi, как продемонстрировано полями ssid и psk_wepkey.
CVE-2025-15509Модуль SmartRemote имеет недостаточные ограничения на загрузку URL-адресов, что может привести к некоторой утечке информации.
CVE-2025-15515Механизм аутентификации для конкретной функции в модуле EasyShare содержит уязвимость. Если в локальной сети соблюдены определенные условия, это может привести к утечке данных
CVE-2018-15000Android-устройство Vivo V7 со сборкой vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys содержит платформенное приложение с именем пакета com.vivo.smartshot (versionCode=1, versionName=3.0.0). Это приложение содержит экспортированную службу с именем com.vivo.smartshot.ui.service.ScreenRecordService, которая будет записывать экран в течение 60 минут и записывать файл mp4 в местоположение, выбранное пользователем. Обычно уведомление о записи будет видно пользователю, но мы обнаружили подход, позволяющий сделать его в основном прозрачным для пользователя, быстро удалив уведомление и плавающий значок. Пользователь может видеть плавающий значок и уведомление, которые быстро появляются и исчезают из-за быстрой остановки и перезапуска службы с различными параметрами, которые не мешают текущей записи экрана. Запись экрана длится 60 минут и может быть записана непосредственно в личный каталог атакующего приложения.
CVE-2020-12483Приложение Appstore до версии 8.12.0.0 предоставляет некоторые из своих компонентов, и злоумышленник может вызвать удаленную загрузку и установку приложений с помощью тщательно сконструированных параметров.
CVE-2020-12488Злоумышленник может получить доступ к конфиденциальной информации, хранящейся в модуле jovi Smart Scene, введя тщательно сконструированные команды без запроса разрешения.
CVE-2020-12485Модуль сенсорного экрана не выполняет оценку допустимости длин параметров при обработке определенных параметров, что приводит к выходу за границы при доступе к памяти. Уязвимость в конечном итоге приводит к локальному отказу в обслуживании на устройстве.
CVE-2018-15001Android-устройство Vivo V7 со сборкой vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys содержит платформенное приложение с именем пакета com.vivo.bsptest (versionCode=1, versionName=1.0), содержащее экспортированный компонент приложения activity с именем com.vivo.bsptest.BSPTestActivity, который позволяет любому приложению, расположенному на устройстве, инициировать запись журнала logcat, журнала bluetooth и журнала ядра во внешнее хранилище. Когда ведение журнала включено, в строке состояния появляется уведомление, поэтому это не является полностью прозрачным для пользователя. Пользователь может отменить ведение журнала, но его можно повторно включить, поскольку приложение с именем пакета com.vivo.bsptest невозможно отключить. Запись этих журналов может быть инициирована приложением, расположенным на устройстве, хотя для приложения необходимо разрешение READ_EXTERNAL_STORAGE, чтобы получить доступ к файлам журналов.
CVE-2025-15567Недостаточный механизм защиты в модуле здоровья может привести к частичному раскрытию информации.
CVE-2018-15002Устройство Vivo V7 со слепком сборки vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys позволяет любому приложению, расположенному на устройстве, устанавливать системные свойства от имени пользователя com.android.phone. Приложение com.qualcomm.qti.modemtestmode (versionCode=25, versionName=7.1.2) содержит экспортированный сервис с именем com.qualcomm.qti.modemtestmode.MbnTestService, который позволяет любому приложению, расположенному на устройстве, предоставлять пары ключ-значение для установки определенных системных свойств. В частности, можно установить системные свойства с префиксом persist.*, которые сохранятся после перезагрузки. На устройстве Vivo V7, когда свойству persist.sys.input.log присваивается значение yes, касания экрана пользователя записываются в журнал logcat InputDispatcher для всех приложений. Общий для системы журнал logcat можно получить из внешнего хранилища через другую известную уязвимость на устройстве. Для доступа к файлам журнала, содержащим координаты касания пользователя, необходимо разрешение READ_EXTERNAL_STORAGE. При определенных усилиях координаты касания пользователя можно сопоставить с нажатиями клавиш на клавиатуре.