CVE-2025-1298

چکیده

آسیب‌پذیری بحرانی از نوع اشکال منطقی در اپلیکیشن موبایل Carlcare (com.transsion.carlcare) شرکت TECNO نسخه 6.2.8.1، امکان دور زدن احراز هویت (Authentication Bypass) از طریق جعل را فراهم کرده و منجر به تصاحب حساب (Account Takeover) می‌شود.

توضیحات

آسیب‌پذیری CVE-2025-1298 در اپلیکیشن موبایل Carlcare (پکیج com.transsion.carlcare، اپلیکیشن رسمی پشتیبانی و خدمات پس از فروش دستگاه‌های هوشمند موبایل و تبلت TECNO) ناشی از اشکال منطقی در پیاده‌سازی احراز هویت است و مطابق با CWE-290 (Authentication Bypass by Spoofing، دور زدن احراز هویت از طریق جعل هویت) طبقه‌بندی می‌شود.

پیامدهای این آسیب‌پذیری شامل محرمانگی با امکان سرقت اطلاعات شخصی کاربر مانند جزئیات حساب، تاریخچه تعمیرات و داده‌های پرداخت، یکپارچگی با تغییر تنظیمات حساب یا رزروهای جعلی و در دسترس‌پذیری با احتمال قفل حساب یا اختلال در سرویس است.

این ضعف از طریق جعل درخواست‌های API (رابط برنامه‌نویسی) بدون اعتبارسنجی مناسب، مانند تغییر توکن‌ها یا پارامترهای احراز هویت، قابل بهره‌برداری است. مهاجم می‌تواند با ابزارهایی مانند Burp Suite یا Postman، درخواست‌های HTTP/HTTPS را دستکاری کند و بدون دانستن رمز عبور یا OTP (رمز یک‌بار مصرف)، به حساب کاربر دسترسی یابد و اقدامات مخربی مانند تغییر ایمیل، سرقت داده‌ها یا ایجاد رزروهای جعلی انجام دهد.

این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌های خودکار مانند Python با کتابخانه requests، به‌صورت از راه دور و بدون تعامل کاربر و تنها با داشتن شناسه حساب (User ID) از منابع عمومی مانند لاگ‌های اپلیکیشن یا شبکه‌های اجتماعی، درخواست‌های جعلی را ارسال کرده و کنترل کامل حساب را به‌دست آورد.

این ضعف در نسخه‌ی 6.2.8.1 شناسایی شده و TECNO در به‌روزرسانی‌های امنیتی ماهانه (از فوریه 2025 به بعد) اصلاحاتی منتشر کرده است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که TECNO carlcare را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری بحرانی در اپلیکیشن Carlcare شرکت TECNO امکان تصاحب حساب را بدون احراز هویت فراهم می‌کند. اقدامات زیر برای کاهش ریسک و جلوگیری از آسیب پذیری ضروری است:

• به‌روزرسانی فوری: اپلیکیشن را تنها از منابع رسمی مانند Google Play یا AppGallery به آخرین نسخه پچ‌شده (پس از فوریه 2025) به روزرسانی کنید. همچنین، سیستم‌عامل دستگاه را با جدیدترین پچ‌های امنیتی ماهانه TECNO (مثلاً نسخه 2025-09 برای مدل‌های سری POVA و SPARK) به‌روزرسانی کنید.
• راهکار کاهش ریسک (Mitigation): برای حساب Carlcare احراز هویت دومرحله‌ای (2FA) را فعال کرده، از VPN برای محافظت از ترافیک شبکه استفاده کنید و درخواست‌های مشکوک را با ابزارهایی مانند AppCensus نظارت نمایید.
• محدودسازی دسترسی: از حداقل مجوزهای اپلیکیشن استفاده کرده (مانند دسترسی به فایل‌ها یا شبکه) و ابزارهای امنیتی اندروید مانند AppArmor یا SELinux برای محدودسازی تماس‌های API را مورد استفاده قرار دهید.
• نظارت و ثبت لاگ: با استفاده از ابزارهایی مانند Logcat و سامانه‌های مدیریت رویداد امنیتی (SIEM) لاگ‌ها را بررسی کرده و ورودهای مشکوک را شناسایی نمایید.
• ایزوله‌سازی محیط: اپلیکیشن را در پروفایل‌های کاربری جداگانه یا سندباکس (مانند Island app) اجرا کنید و ترافیک را از طریق فایروال فیلتر نمایید.
• اسکن و تست امنیتی: سیستم را با ابزارهای اسکن مانند MobSF یا QARK بررسی کرده و تست نفوذ روی اندپوینت API انجام دهید.
• آموزش کاربران: کاربران را در مورد ریسک spoofing، اهمیت به‌روزرسانی اپلیکیشن و عدم اشتراک‌گذاری شناسه کاربری آموزش دهید. استفاده از Password Manager برای ایجاد و ذخیره رمزهای قوی نیز توصیه می‌شود.
• بازیابی در صورت نفوذ: در صورت مشکوک شدن به نفوذ، حساب را ریست کرده، دستگاه را به تنظیمات کارخانه بازگردانید و با پشتیبانی رسمی TECNO تماس بگیرید.

اجرای این اقدامات ریسک تصاحب حساب را به طور قابل توجهی کاهش داده و امنیت حساب‌های کاربران TECNO را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Atatck

Initial Access (TA0001)
ورود اولیه می‌تواند از طریق فیشینگِ لینک دانلود اپ/فایل نصبِ جعلی، سرقت اعتبار حساب credential stuffing یا بهره‌برداری از آسیب‌پذیری‌های UI (مثلاً پردازش ورودی‌های نامطمئن هنگام ثبت‌نام/ورود) صورت بگیرد؛ مهاجم با این مسیرها قادر است جلسه کاربر را ربوده یا دسترسی اولیه به سرویس بک‌اند کسب کند.

Discovery (TA0007)
پس از دسترسی اولیه، مهاجم می‌تواند از طریق API های عمومی یا مستندسازی ناقص، اطلاعات ساختاری را کشف کند که نقشه مسیر حملات بعدی را فراهم می‌سازد.

Privilege Escalation (TA0004)
اسکوپ آپ‌دِیت سطح دسترسی می‌تواند با سوءاستفاده از پارامترهای بک‌اند، توکن‌های بلندمدت یا قابلیت‌های admin داخل اپ تحقق یابد؛ اپلیکیشن‌هایی که نقش/پرمیژن را در سمت کلاینت مدیریت می‌کنند، ریسک بالاتری دارند.

Collection (TA0009)
مهاجم با session ربوده‌شده می‌تواند داده‌های حساس محلی (فرم‌ها، تصاویر مدارک، مدل‌های ارسال‌شده) یا داده‌های بک‌اند را جمع‌آوری کند

Exfiltration (TA0010)
بعد از جمع‌آوری، مهاجم می‌تواند داده‌ها را از طریق کانال‌های شبکه، آپلود به سرویس‌های خارجی یا استفاده از ابزارهای مدیریتی نشت دهد

Defense Evasion (TA0005)
برای پنهان‌سازی فعالیت، مهاجم ممکن است لاگ‌ها را حذف یا جعل کند (در صورت دستری به حساب ادمین)

Impact (TA0040)
پیامدها شامل سرقت اطلاعات کاربران، دستکاری در خدمات پس از فروش، اخلال در فرآیندهای پشتیبانی محلی یا حذف داده‌ها و از دست رفتن اعتماد مشتری است؛ در بدترین حالت، سو‌ء‌استفاده از حساب‌ها می‌تواند به کلاهبرداری یا افشای گسترده منجر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-1298
2. https://www.cvedetails.com/cve/CVE-2025-1298/
3. https://security.tecno.com/SRC/blogdetail/383?lang=en_US
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1298
5. https://vuldb.com/?id.295814
6. https://security.tecno.com/SRC/securityUpdates
7. https://nvd.nist.gov/vuln/detail/CVE-2025-1298
8. https://cwe.mitre.org/data/definitions/290.html