CVE-2025-26430

چکیده

آسیب‌پذیری در اپلیکیشن سیستمی Settings سیستم‌عامل اندروید 15، امکان افشای فایل‌های کاربران دیگر (Cross-User File Reveal) را از طریق خطای منطقی در کد فراهم می‌کند. این ضعف منجر به افزایش سطح دسترسی لوکال (Local EoP) می‌شود و بدون نیاز به تعامل کاربر یا دسترسی اضافی قابل بهره‌برداری است.

توضیحات

آسیب‌پذیری CVE-2025-26430 در اپلیکیشن Settings اندروید (بخشی از فریم‌ورک سیستم که تنظیمات دستگاه را مدیریت می‌کند) و به‌طور خاص در متد getDestinationForApp از کلاس SpaAppBridgeActivity رخ می‌دهد.

این ضعف ناشی از عدم اعتبارسنجی صحیح مجوزها مطابق با CWE-285 و یک خطای منطقی (logic error) در پردازش نام بسته برای SPA است؛ به‌عبارت دیگر، کنترل فرمت نام بسته پیش از استفاده در مکانیزم SPA به‌درستی انجام نمی‌شود. نتیجه این خطا، افشای فایل‌های متعلق به سایر کاربران در دستگاه‌های چندکاربره و در نهایت افزایش سطح دسترسی لوکال است.

بهره‌برداری از این ضعف نیازی به تعامل کاربر یا دسترسی شبکه‌ای ندارد و می‌تواند توسط یک مهاجم لوکال با سطح دسترسی پایین انجام شود. مهاجم می‌تواند با اجرای اسکریپت‌های لوکال یا نصب یک اپ مخرب، نام بسته‌های نامعتبر را تزریق کرده و مسیر فایل‌های حساس دیگر کاربران را استخراج کند، بخواند یا حتی تغییر دهد. این حمله مبتنی بر مکانیزم SPA (معماری جابه جایی سریع بین تنظیمات و اپ‌ها) و فریم ورک چندکاربری اندروید (Multi-User Framework) عمل می‌کند و به‌سادگی قابل خودکارسازی است. پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای داده‌های کاربران دیگر، یکپارچگی با امکان تغییر فایل‌ها و در دسترس‌پذیری با اختلال در عملکرد کاربران است. این ضعف تنها در اندروید 15 گزارش شده و در بولتن امنیتی می 2025 پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Android را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در اندروید 15، ریسک افشای اطلاعات بین کاربران و افزایش سطح دسترسی را به طور قابل توجهی افزایش می‌دهد و می‌تواند حریم خصوصی در دستگاه‌های چندکاربره را تهدید کند. با توجه به انتشار پچ، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام دستگاه های اندروید را به نسخه 15 یا جدیدتر به روزرسانی کنید؛ پچ در مخزن AOSP منتشر شده و توسط تولیدکنندگان دستگاه های اندرویدی (OEM) عرضه می شود.
• مدیریت کاربران: در دستگاه‌های چندکاربره، از ایجاد حساب‌های غیرضروری خودداری کنید و دسترسی اپلیکیشن‌ها به فایل‌های خارجی را با App Ops یا Permission Controller محدود نمایید.
• تقویت SPA: توسعه‌دهندگان باید قبل از استفاده از نام بسته‌ها در فرآیند جابه‌جایی SPA، اعتبارسنجی ورودی‌ها را انجام دهند (برای مثال با الگوهای استاندارد Regex) و از Intentهای با هدف گذاری مستقیم به جای هدف گذاری غیر مستقیم استفاده کنند.
• نظارت لوکال: از ابزارهایی مانند Android Debug Bridge برای مانیتورینگ دسترسی‌های بین‌کاربری استفاده کنید و لاگ‌های سیستم (logcat) را برای فعالیت‌های مشکوک SPA تحلیل نمایید.
• ایزوله‌سازی اپلیکیشن‌ها: از قابلیت‌های Work Profile یا Android Enterprise برای جداسازی داده‌های شخصی و کاری بهره ببرید تا احتمال افشای داده‌ها بین کاربران کاهش یابد.
• تست امنیتی: اپلیکیشن‌های نصب‌شده را با ابزارهایی مانند Drozer یا MobSF اسکن کنید تا ضعف‌های مشابه در دسترسی به فایل‌های کاربران دیگر شناسایی شود.
• آموزش کاربران: کاربران سازمانی را در مورد ریسک دستگاه‌های چندکاربره و اهمیت دریافت به‌روزرسانی ماهانه آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و محدودسازی دسترسی‌های بین‌کاربری، ریسک ناشی از این ضعف را به ‌طور چشمگیری کاهش می‌دهد و امنیت دستگاه‌های اندرویدی را تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در دستگاه‌های چندکاربره اندروید، اپلیکیشن‌های محلی یا اپ مخرب می‌توانند از طریق فراخوانیِ ضعیف‌شده متدهای SPA به مسیرهای دسترسی فایل داخلی دسترسی یابند؛ به‌طور عملی هر اپی که بتواند یک Intent یا ورودی محلی به این اندپوینت بفرستد، می‌تواند برد حمله اولیه را باز کند

Persistence (TA0003)
پس از بهره‌برداری، اپ مخرب می‌تواند فایل‌های پیکربندی یا cron-like job محلی بسازد تا دسترسی بین‌کاربری را حفظ کند

Privilege Escalation (TA0004)
با سوءاستفاده از نقصِ اعتبارسنجی بسته و مکان‌یابی فایل‌ها، مهاجم محلی می‌تواند داده‌های متعلق به کاربر دیگر را بخواند یا فایل‌های حساس را دستکاری کند و بدین‌وسیله به سطح دسترسی بالاتر (مثلاً دسترسی به اطلاعات کاری یا توکن‌ها) برسد

Defense Evasion (TA0005)
حمله می‌تواند با جعل نام بسته‌ها و استفاده از مسیرهای فایل غیرمعمول، لاگ‌ها را دور بزند یا درخواست‌ها را طوری قالب‌بندی کند که ابزارهای ساده لاگ‌محور و قواعد امضاشده آنها را تشخیص ندهند

Credential Access (TA0006)
بهره‌بردار می‌تواند با خواندن فایل‌های پیکربندی یا shared storage متعلق به کاربران دیگر، توکن‌ها و رشته‌های اتصال یا credentialهای ذخیره‌شده محلی را استخراج کند

Discovery (TA0007)
مهاجم پس از دستیابی اولیه، به‌سرعت ساختار دایرکتوری، نام بسته‌ها، لیست کاربران محلی و نقاط mount را کاوش می‌کند تا مسیرهای حساس را بیابد

Lateral Movement (TA0008)
با استفاده از credentialهای استخراج‌شده یا دسترسی به configهای شبکه، مهاجم می‌تواند از دستگاه به سرویس‌های سازمانی متصل شود

Collection (TA0009)
پس از نفوذ، مهاجم فایل‌های کاربری، اسناد حساس، تصاویر و داده‌های ذخیره‌شده محلی را جمع‌آوری می‌کند

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده ممکن است از طریق کانال‌های HTTP/S یا کانال‌های پنهان‌شده (مثلاً آپلود از طریق اپ‌های ثالث) خارج شوند

Impact (TA0040)
پی‌آمد فنی شامل افشای فایل‌های کاربران دیگر، تخریب یا تغییر داده‌های حساس، و افزایش سطح دسترسی محلی است که می‌تواند منجر به نفوذ به منابع سازمانی شود؛ از منظر کسب‌وکار، پیامدها شامل نقض حریم خصوصی کارکنان، لو رفتن اسرار کاری و اختلال در سرویس‌های سازمانی است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-26430
2. https://www.cve.org/CVERecord?id=CVE-2025-26430
3. https://source.android.com/security/bulletin/2025-05-01
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26430
5. https://vuldb.com/?id.322627
6. https://android.googlesource.com/platform/packages/apps/Settings/+/484b4be8f3634fa0d0fed53729490b9135c644b5
7. https://nvd.nist.gov/vuln/detail/CVE-2025-26430
8. https://cwe.mitre.org/data/definitions/285.html