CVE-2025-10721

چکیده

آسیب‌پذیری در اپلیکیشن Webull Investing & Trading App نسخه 11.2.5.63 روی اندروید، ناشی از پیکربندی نامناسب کامپوننت‌ها در فایل AndroidManifest.xml است. این ضعف به مهاجم لوکال اجازه می‌دهد کامپوننت‌ها را دستکاری کند و در پی آن با روش‌هایی مانند ربایش تسک (Task Hijacking) صفحه فیشینگ را نمایش دهد و اطلاعات ورود (credentials) یا سایر داده‌های حساس کاربران را سرقت کند.

توضیحات

آسیب‌پذیری CVE-2025-10721 در اپلیکیشن Webull Investing & Trading App (اپ معاملاتی سهام و سرمایه‌گذاری) نسخه 11.2.5.63 روی اندروید، ناشی از پیکربندی نامناسب کامپوننت‌های اپلیکیشن در فایل AndroidManifest.xml است که مطابق با CWE-926 طبقه‌بندی می‌شود.

این فایل پیکربندی اصلی اپلیکیشن‌های اندروید است و فعالیت‌ها ، سرویس‌ها و مجوزها را تعریف می‌کند. این آسیب‌پذیری به اپلیکیشن‌های مخرب اجازه می‌دهد کامپوننت‌های اَپ آسیب‌پذیر را برای سایر برنامه‌ها قابل‌دسترسی کنند و حمله Task Hijacking (ربایش تسک) انجام دهند. مهاجمان می‌توانند تسک های اپ را ربوده و به جای صفحه اصلی، صفحه فیشینگ نمایش دهند تا اطلاعات ورود کاربر (credentials، اطلاعات احراز هویت مانند رمز عبور) را سرقت یا مجوزهای اضافی کسب کنند. به زبان ساده، یک تنظیم اشتباه در فایل پیکربندی اندرویدِ اپ Webull باعث شده اپ‌های مخرب محلی بتوانند «تسک» اپ را ربوده و صفحه فیشینگ‌شون را به‌جای صفحه واقعی نشان دهند. یعنی با نصب یک اپ مخرب روی گوشی کاربر، وقتی Webull باز می‌شود آن اپ مخرب ممکن است جای صفحه ورود اصلی قرار بگیرد و اطلاعات کاربر (رمز و نام‌کاربری) را به سرقت ببرد.

این حمله تنها به‌صورت لوکال قابل انجام است و نیاز به نصب اپلیکیشن مخرب روی دستگاه قربانی دارد. مهاجم یک اپ مخرب ایجاد می‌کند و taskAffinity آن را برابر با نام بسته Webull (org.dayup.stocks) قرار می‌دهد. وقتی کاربر اپ اصلی را باز می‌کند، فعالیت مخرب در root همان task stack ظاهر شده و به‌جای صفحه واقعی، صفحه فیشینگ نمایش داده می‌شود.

این ضعف در تمام نسخه‌های اندروید قبل از 11 قابل بهره‌برداری است. کد اثبات مفهومی (PoC) عمومی منتشر شده که شامل کد اپلیکیشن مخرب برای نمایش ربایش تسک، مانند تنظیم android:taskAffinity در manifest مخرب و اجرای فعالیت جعلی می‌باشد. تاکنون شرکت Webull پچ یا به‌روزرسانی امنیتی برای رفع این آسیب‌پذیری منتشر نکرده است.

CVSS

 لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Webull: Investing & Trading را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری با شدت متوسط در اپلیکیشن Webull Investing & Trading App به دلیل پیکربندی نامناسب کامپوننت‌ها در AndroidManifest.xml، تهدیدی قابل توجهی محسوب می‌شود، زیرا به اپ‌های مخرب لوکال امکان Task Hijacking می‌دهد و می‌تواند منجر به فیشینگ و سرقت اطلاعات حساس کاربران شود.با توجه به عدم انتشار پچ رسمی، اجرای اقدامات زیر برای کاهش ریسک ضروری است:

• اصلاح پیکربندی xml: ویژگی taskAffinity را برای هر فعالیت به taskAffinity= “” تنظیم کنید تا وابستگی تصادفی ایجاد شود یا این تنظیم را در تگ اپلیکیشن اعمال نمایید تا تمام فعالیت ها محافظت شده و از ربایش تسک جلوگیری شود.
• به‌روزرسانی اپلیکیشن: به‌طور مرتب وب‌سایت یا فروشگاه Google Play (فروشگاه اپلیکیشن گوگل) را بررسی کرده و در صورت انتشار نسخه پچ‌شده، فوراً اپ Webull را به‌روزرسانی کنید؛ از نصب اپ‌های ناشناخته و غیررسمی اجتناب نمایید.
• نصب از منابع معتبر: اپ‌ها را فقط از Google Play دانلود کنید و گزینه‌های sideload (نصب از منابع غیررسمی) را غیرفعال نمایید تا ریسک نصب اپ‌های مخرب کاهش یابد.
• نظارت بر مجوزها: مجوزهای اپ‌های نصب‌شده را بررسی کنید، از ابزارهای امنیتی مانند Google Play Protect استفاده نمایید و لاگ‌های دستگاه را برای شناسایی فعالیت‌های مشکوک نظارت کنید.
• آموزش کاربران: کاربران را در مورد ریسک‌های Task Hijacking و فیشینگ آگاه سازید، از VPN و آنتی‌ویروس‌های موبایل استفاده کنید و اطلاعات کاربری را با احتیاط در اپ‌های معاملاتی وارد نمایید.
• ارتقا به اندروید 11 یا بالاتر: دستگاه‌های قدیمی را به نسخه‌های جدیدتر اندروید ارتقا دهید تا از محافظت‌های امنیتی پیشرفته‌تر بهره‌مند شوند.

اجرای این اقدامات سطح امنیت دستگاه‌های اندرویدی را بهبود می‌بخشد و ریسک سرقت اطلاعات را تا زمان انتشار پچ رسمی به حداقل می‌رساند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم با فریب کاربر یا تشویق به نصب اپلیکیشن مخرب یا از طریق sideloading و نصب از منابع غیررسمی به دستگاه دسترسی اولیه می‌یابد؛ اپ مخرب با تنظیم taskAffinity برابر نام بسته Webull یا استفاده از اجزای صادرشده (exported components) خود را در همان task stack قرار می‌دهد و بدین‌صورت وقتی کاربر Webull را باز می‌کند، فرصت اجرای UI فیشینگ فراهم می‌شود.

Credential Access (TA0006)
صفحه فیشینگ نمایش‌داده‌شده برای جمع‌آوری اطلاعات ورود (نام‌کاربری، رمزعبور، توکن‌های احراز هویت) طراحی شده است؛ در نتیجه مهاجم می‌تواند داده‌های حساس را مستقیماً از کاربر سرقت کرده و آن‌ها را برای دسترسی بعدی به حساب قربانی استفاده کند.

Defense Evasion (TA0005)
با استفاده از taskAffinity و کامپوننت‌های صادرشده در Manifest (CWE-926) مهاجم UI مخرب را درون همان task قرار می‌دهد تا ظاهراً بخشی از اپ اصلی جلوه کند؛ این روش موجب گمراه‌سازی کاربر و کاهش شانس شناسایی فیشینگ توسط مکانیزم‌های مبتنی بر مشاهده سریعِ UI می‌شود.

Persistence (TA0003)
پس از نصب، اپ مخرب می‌تواند با ثبت BroadcastReceiver‌ یا سرویس‌های پس‌زمینه و درخواست مجوزهای لازم، حضور و دسترسی مداوم خود را حفظ کند و یا با تکنیک‌هایی مانند autostart خود را بازگرداند تا امکان تکرار فیشینگ فراهم بماند.

Impact (TA0040)
پیاده‌سازی موفق می‌تواند منجر به سرقت اعتبارنامه‌ها، دسترسی غیرمجاز به حساب‌های معاملاتی و مالی شدن کامل کنترل حساب کاربر شود؛ تاثیرات شامل از دست رفتن دارایی، نقض محرمانگی اطلاعات حساس و زیان مالی و عملیاتی است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-10721
2. https://www.cvedetails.com/cve/CVE-2025-10721/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10721
4. https://vuldb.com/?submit.645014
5. https://vuldb.com/?id.325010
6. https://vuldb.com/?ctiid.325010
7. https://github.com/KMov-g/androidapps/blob/main/org.dayup.stocks.md
8. https://github.com/KMov-g/androidapps/blob/main/org.dayup.stocks.md#steps-to-reproduce
9. https://nvd.nist.gov/vuln/detail/CVE-2025-10721
10. https://cwe.mitre.org/data/definitions/926.html