CVE-2025-26435

چکیده

آسیب‌پذیری خطای منطقی (Logic Error) در متد updateState کلاس ContentProtectionTogglePreferenceController.java در اپلیکیشن Settings اندروید، به کاربر ثانویه (Secondary User) اجازه می‌دهد تا تنظیم اسکن اپ‌های فریبنده (Deceptive App Scanning) کاربر اصلی را غیرفعال کند. بهره برداری از این ضعف منجر به افزایش سطح دسترسی لوکال بدون نیاز به مجوز اضافی یا تعامل کاربر می‌شود.

توضیحات

آسیب‌پذیری CVE-2025-26435 در متد updateState کلاس ContentProtectionTogglePreferenceController.java در اپلیکیشن Settings فریم‌ورک اندروید، ناشی از یک خطای منطقی در مدیریت وضعیت گزینه حفاظت محتوا (Content Protection) است و مطابق با CWE-269 طبقه‌بندی می‌گردد.

به‌طور دقیق تر، این متد وضعیت فعال یا غیرفعال بودن قابلیت اسکن اپ‌های فریبنده (Deceptive App Scanning، بخشی از Google Play Protect برای شناسایی اپ‌های مخرب یا جعلی) را برای کاربر فعلی بررسی می‌کند، اما این کنترل به‌اشتباه فقط برای کاربران مهمان (Guest User) اعمال شده و کاربران ثانویه مستثنی را می سازد؛ در نتیجه، کاربر ثانویه می‌تواند تنظیمات امنیتی کاربر اصلی را تغییر دهد. در اندروید، «کاربر ثانویه» یا Secondary User کسی است که روی همان دستگاه ایجاد می‌شود ولی مالک اصلی دستگاه (Primary User) نیست.

این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار، به‌صورت لوکال، بدون تعامل کاربر و تنها با داشتن یک حساب کاربری ثانویه با دسترسی پایین، گزینه Content Protection غیرفعال کرده و قابلیت اسکن اپ‌های فریبنده کاربر اصلی را تغییر دهد.

پیامد اصلی این ضعف، افزایش سطح دسترسی لوکال از طریق نقض سیاست‌های امنیتی چندکاربری است؛ یعنی کاربر ثانویه می‌تواند مکانیزم دفاعی Google Play Protect کاربر اصلی را دور بزند، امکان نصب اپ‌های مخرب را افزایش دهد و در نهایت به داده‌های حساس، تغییر تنظیمات سیستم یا اجرای کد در سطح بالاتر دست یابد. گوگل این ضعف را در بولتن امنیتی می 2025 پچ کرده و تغییرات مربوطه را در مخزن AOSP منتشر نکرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Android را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری با شدت بالا در اپلیکیشن Settings اندروید، ناشی از یک خطای منطقی در مدیریت گزینه حفاظت محتوا است و به کاربر ثانویه اجازه می‌دهد قابلیت اسکن اپ‌های فریبنده کاربر اصلی را غیرفعال کند. با توجه به انتشار پچ در بولتن امنیتی می 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام دستگاه‌های اندروید را به نسخه 15 یا جدیدتر به‌روزرسانی کنید؛ پچ در مخزن AOSP منتشر شده و تولیدکنندگان دستگاه‌های اندرویدی (OEMها) نیز آن را برای گوشی‌های خود عرضه می‌کنند.
• مدیریت کاربران: از ایجاد کاربران ثانویه غیرضروری خودداری کنید؛ در محیط‌های سازمانی، از Android Enterprise برای اعمال سیاست‌های کاربری (User Policies) و محدودسازی دسترسی به تنظیمات امنیتی استفاده نمایید.
• راهکارهای کاهش ریسک: SELinux را در حالت Enforcing نگه دارید، Verified Boot را فعال کنید و از راهکارهای امنیتی مانند Knox (سامسونگ) یا SafetyNet برای تشخیص تغییرات غیرمجاز بهره ببرید.
• محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را در پروفایل‌های کاربری اعمال کنید، نصب جانبی اپ‌ها (sideloading) را غیرفعال نمایید و از EMM (Enterprise Mobility Management) مانند Microsoft Intune برای کنترل تنظیمات Play Protect استفاده کنید.
• نظارت بر لاگ‌ها: لاگ‌های Settings و UserManager را با ابزارهایی مانند logcat یا Splunk بررسی کنید و از SIEM برای تشخیص تغییرات غیرمجاز در تنظیمات امنیتی کاربر اصلی استفاده نمایید.
• ایزوله‌سازی محیط: تنظیمات حساس را در پروفایل‌های کاری (Work Profile) ایزوله کنید و تست‌های امنیتی را در محیط‌های سندباکس انجام دهید.
• اسکن و تست امنیتی: از ابزارهایی مانند Mobile Security Framework (MobSF) یا Appium برای تست خودکار تغییرات تنظیمات در کاربران ثانویه استفاده کنید و سناریوهای نفوذ چندکاربری را شبیه‌سازی نمایید.
• آموزش: کاربران را در مورد ریسک‌های اشتراک دستگاه با کاربران ثانویه، اهمیت فعال نگه داشتن Play Protect و بررسی دوره‌ای تنظیمات امنیتی آموزش دهید.

اجرای این اقدامات، ریسک افزایش سطح دسترسی از طریق سوءاستفاده از تنظیمات چندکاربری را به‌طور چشمگیری کاهش می‌دهد و امنیت Google Play Protect را در محیط‌های چندکاربره حفظ می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
با این ضعف بردار حمله محلی و مبتنی بر حساب‌های کاربری ثانویه است؛ مهاجم نیاز دارد یک حساب ثانویه روی دستگاه ایجاد یا کنترل شده داشته باشد تا از طریق آن به Settings دسترسی محدود پیدا کند و گزینه‌‌های Play Protect کاربر اصلی را تغییر دهد.

Credential Access (TA0006)
با غیرفعال شدن اسکن اپ‌های فریبنده، مهاجم می‌تواند از طریق نصب اپ‌های مخرب یا فیشینگ محلی به توکن‌ها و اطلاعات ورود keystores، token caches، webviews دسترسی کسب کند؛ به‌ویژه در صورتی که اپ‌های کاربر اصلی به‌خاطر غیرفعال‌شدن حفاظت آسیب‌پذیر شوند.

Privilege Escalation (TA0004)
پیامد مستقیم این ضعف افزایش سطح دسترسی محلی است؛ کاربر ثانویه با غیرفعال کردن مکانیزم‌های حفاظتی می‌تواند شرایطی ایجاد کند که اپ‌هایی با دسترسی محدود، عملیات‌هایی انجام دهند که معمولاً نیاز به مجوز یا تعامل مالک دارند.

Collection (TA0009)
پس از کاهش سطح محافظت، مهاجم یا اپ مخرب قادر خواهد بود داده‌های حساس کاربر (اطلاعات شخصی، تراکنش‌ها، داده‌های اپلیکیشن‌ها) را جمع‌آوری کند؛ این جمع‌آوری می‌تواند از طریق اپ‌های مخرب نصب‌شده یا UI فیشینگ داخلی انجام شود.

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده می‌توانند به آسانی از طریق کانال‌های شبکه یا سرویس‌های ثالث خارج شوند

Impact (TA0040)
پیامد کلی شامل افزایش سطح دسترسی محلی، نقض محرمانگی و یکپارچگی داده‌ها و در مواردی اختلال یا سوءاستفاده از عملکردهای سیستمی است؛ در محیط سازمانی می‌تواند منجر به نشت دادهٔ حساس و تهدید به زنجیره تأمین نرم‌افزاری شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-26435
2. https://www.cvedetails.com/cve/CVE-2025-26435/
3. https://source.android.com/security/bulletin/2025-05-01
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26435
5. https://vuldb.com/?id.322648
6. https://android.googlesource.com/platform/packages/apps/Settings/+/9dc0dd2c50ceb30ca5062ff3a02e48a8b4165863
7. https://nvd.nist.gov/vuln/detail/CVE-2025-26435
8. https://cwe.mitre.org/data/definitions/269.html