CVE-2019-15470
https://notcve.org/view.php?id=CVE-2019-15470
The Xiaomi Redmi Note 6 Pro Android device with a build fingerprint of xiaomi/tulip/tulip:8.1.0/OPM1.171019.011/V10.2.2.0.OEKMIXM:user/release-keys contains a pre-installed app with a package name of com.qualcomm.qti.callenhancement app (versionCode=27, versionName=8.1.0) that allows other pre-installed apps to perform microphone audio recording via an accessible app component. This capability can be accessed by any pre-installed app on the device which can obtain signatureOrSystem permissions that are required by other other pre-installed apps that export their capabilities to other pre-installed app. This app allows a third-party app to use its open interface to record telephone calls to external storage. El dispositivo Xiaomi Redmi Note 6 Pro Android con una huella digital de compilación de xiaomi/tulip/tulip:8.1.0/OPM1.171019.011/V10.2.2.0.OEKMIXM:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.qualcomm.qti.callenhancement (versionCode=27, versionName=8.1.0), que permite a otras aplicaciones preinstaladas realizar una grabación de audio del micrófono por medio de un componente de aplicación accesible. Esta capacidad puede ser accedida mediante cualquier aplicación preinstalada en el dispositivo que pueda obtener permisos signatureOrSystem que son requeridos mediante otras aplicaciones preinstaladas que exportaron sus capacidades hacia otra aplicación preinstalada. • https://www.kryptowire.com/android-firmware-2019 •
CVE-2019-15469
https://notcve.org/view.php?id=CVE-2019-15469
The Xiaomi Mi Pad 4 Android device with a build fingerprint of Xiaomi/clover/clover:8.1.0/OPM1.171019.019/V9.6.26.0.ODJCNFD:user/release-keys contains a pre-installed app with a package name of com.qualcomm.qti.callenhancement app (versionCode=27, versionName=8.1.0) that allows other pre-installed apps to perform microphone audio recording via an accessible app component. This capability can be accessed by any pre-installed app on the device which can obtain signatureOrSystem permissions that are required by other other pre-installed apps that export their capabilities to other pre-installed app. This app allows a third-party app to use its open interface to record telephone calls to external storage. El dispositivo Xiaomi Mi Pad 4 Android con una huella digital de compilación de Xiaomi/clover/clover:8.1.0/OPM1.171019.019/V9.6.26.0.ODJCNFD:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.qualcomm.qti.callenhancement (versionCode=27, versionName=8.1.0), que permite a otras aplicaciones preinstaladas realizar una grabación de audio del micrófono por medio de un componente de aplicación accesible. Esta capacidad puede ser accedida mediante cualquier aplicación preinstalada en el dispositivo que pueda obtener permisos signatureOrSystem que son requeridos mediante otras aplicaciones preinstaladas que exportaron sus capacidades hacia otra aplicación preinstalada. • https://www.kryptowire.com/android-firmware-2019 •
CVE-2019-15468
https://notcve.org/view.php?id=CVE-2019-15468
The Xiaomi Mi A2 Lite Android device with a build fingerprint of xiaomi/daisy/daisy_sprout:9/PKQ1.180917.001/V10.0.3.0.PDLMIXM:user/release-keys contains a pre-installed app with a package name of com.huaqin.factory app (versionCode=1, versionName=QL1715_201812071953) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Mi A2 Lite Android con una huella digital de compilación de xiaomi/daisy/daisy_sprout:9/PKQ1.180917.001/V10.0.3.0.PDLMIXM:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de com. aplicación huaqin.factory (versionCode=1, versionName=QL1715_201812071953), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada sobre el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVE-2019-15467
https://notcve.org/view.php?id=CVE-2019-15467
The Xiaomi Mi Mix 2S Android device with a build fingerprint of Xiaomi/polaris/polaris:8.0.0/OPR1.170623.032/V9.5.19.0.ODGMIFA:user/release-keys contains a pre-installed app with a package name of com.huaqin.factory app (versionCode=1, versionName=A2060_201801032053) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Mi Mix 2S Android con una huella digital de compilación de Xiaomi/polaris/polaris:8.0.0/OPR1.170623.032/V9.5.19.0.ODGMIFA:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory (versionCode=1, versionName=A2060_201801032053), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada sobre el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVE-2019-15466
https://notcve.org/view.php?id=CVE-2019-15466
The Xiaomi Redmi 6 Pro Android device with a build fingerprint of xiaomi/sakura_india/sakura_india:8.1.0/OPM1.171019.019/V10.2.6.0.ODMMIXM:user/release-keys contains a pre-installed app with a package name of com.huaqin.factory app (versionCode=1, versionName=QL1715_201812191721) that allows unauthorized wireless settings modification via a confused deputy attack. This capability can be accessed by any app co-located on the device. El dispositivo Xiaomi Redmi 6 Pro Android con una huella digital de compilación de xiaomi/sakura_india/sakura_india:8.1.0/OPM1.171019.019/V10.2.6.0.ODMMIXM:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory (versionCode=1, versionName=QL1715_201812191721), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada sobre el dispositivo. • https://www.kryptowire.com/android-firmware-2019 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •