خانه » CVE-2025-26436
هشدار‌های سایبری

CVE-2025-26436

Background Activity Launch Bypass in Android PendingIntentRecord Enabling Privilege Escalation

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 2 بازدید
هشدار سایبری CVE-2025-26436
  • شناسه CVE-2025-26436 :CVE
  • CWE-863 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 4, 2025
  • به روز شده: سپتامبر 4, 2025
  • امتیاز: 7.8
  • نوع حمله: Unknown
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: Google
  • محصول: Android
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در متد clearAllowBgActivityStarts کلاس PendingIntentRecord.java در فریم‌ورک اندروید، امکان دور زدن محدودیت‌های BAL (Background Activity Launch) را فراهم می‌کند و به اپلیکیشن‌ها اجازه می‌دهد فعالیت‌هایی را از پس‌زمینه اجرا کنند؛ این موضوع منجر به افزایش سطح دسترسی لوکال بدون نیاز به مجوز اضافی یا تعامل کاربر می‌شود.

توضیحات

آسیب‌پذیری CVE-2025-26436 در متد clearAllowBgActivityStarts کلاس PendingIntentRecord.java در فریم‌ورک اندروید، ناشی از دور زدن نادرست محدودیت‌های BAL (سیستمی برای جلوگیری از اجرای فعالیت‌های پس‌زمینه توسط اپلیکیشن‌های غیرفعال) است و مطابق با CWE-863 طبقه‌بندی می‌گردد.

به‌طور دقیق تر، این متد در هنگام پاک‌سازی مجوزهای شروع فعالیت از پس‌زمینه، تنها توکن‌ها را حذف می‌کند اما ورودی‌های مبتنی بر مدت زمان (duration-based entries) را حفظ می‌نماید؛ در نتیجه اپلیکیشن‌ها می توانند با سوءاستفاده از PendingIntentهای قدیمی، محدودیت‌های BAL را دور بزنند و فعالیت‌هایی را از پس‌زمینه اجرا کنند. به عبارت دیگر، هنگام حذف مجوزها توسط پیاده‌سازی فعلی، فقط «توکن‌ها» حذف می‌شوند؛ در حالی که رکوردهای مبتنی بر مدت‌زمان (time‑bound entries) که نشان‌دهنده اعتبار زمانی مجوزها هستند، همچنان در سامانه باقی می‌مانند. در نتیجه، PendingIntentهایی که پیش‌تر صادر شده و از لحاظ بازه زمانی هنوز معتبر قلمداد می‌شوند می‌توانند مجدداً مورد استفاده قرار گیرند؛ بدین ترتیب یک برنامه (یا عامل مخرب) می‌تواند از طریق همان PendingIntent قدیمی، اجرای یک Activity را از پس‌زمینه راه‌اندازی کند، در حالی که سیستم‌عامل بر این پندار است که مجوز مربوطه پیش‌تر لغو شده است.

این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم با دسترسی لوکال و حساب کاربری با سطح دسترسی پایین می‌تواند بدون تعامل کاربر و تنها از طریق ارسال یا دستکاری PendingIntentها، اجرای فعالیت‌های مخرب پس‌زمینه را تکرار کند و کنترل بیشتری بر سیستم به‌دست آورد.

پیامدهای اصلی آن محرمانگی، یکپارچگی و در دسترس پذیری است. به عبارتی افزایش سطح دسترسی لوکال رخ می دهد و اپلیکیشن می‌تواند بدون نیاز به مجوزهای اضافی، عملیات حساس مانند دسترسی به داده‌های دیگر اپ‌ها، تغییر تنظیمات سیستم یا اجرای کد در سطح بالاتر را انجام دهد. گوگل این ضعف را در بولتن امنیتی می 2025 پچ کرده و تغییرات مربوطه را در مخزن AOSP منتشر کرده است.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected at 15

affected at 14

affected at 13

 Android

لیست محصولات بروز شده

Versions Product
13, 14, 15 Android

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Android را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
15,300,000 site:.ir “Android” Android

نتیجه گیری

این آسیب‌پذیری با شدت بالا در فریم‌ورک اندروید، از طریق دور زدن محدودیت‌های BAL در PendingIntentRecord، امکان افزایش سطح دسترسی لوکال را بدون نیاز به تعامل کاربر فراهم می‌کند. با توجه به انتشار پچ در بولتن امنیتی می 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

  • به‌روزرسانی فوری: تمام دستگاه‌های اندروید را به نسخه‌های 13، 14، 15 یا بالاتر به‌روزرسانی کنید؛ پچ در AOSP منتشر شده و OEMها نیز آن را عرضه می‌کنند.
  • کنترل PendingIntentها: از ارسال PendingIntentهای حساس به اپلیکیشن های غیرقابل‌اعتماد خودداری کنید؛ در فرآیند توسعه از FLAG_IMMUTABLE استفاده کرده یا در صورت نیاز FLAG_MUTABLE را با احتیاط اعمال کنید و مدیریت توکن‌های مربوط به BAL را به درستی پیاده‌سازی نمایید.
  • راهکارهای کاهش ریسک: SELinux را در حالت Enforcing نگه دارید، Verified Boot را فعال کنید و از راهکارهای امنیتی تولیدکننده مانند Knox (سامسونگ) یا SafetyNet بهره ببرید تا تغییرات غیرمجاز شناسایی شوند.
  • محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را اعمال کنید، نصب جانبی اپ‌ها (sideloading) را غیرفعال نمایید و از راهکارهای مدیریت موبایل سازمانی (EMM) مانند Microsoft Intune برای کنترل PendingIntentها و سیاست‌های BAL استفاده کنید.
  • نظارت بر لاگ‌ها: لاگ‌های ActivityManager و PendingIntentController را با ابزارهایی مانند logcat یا Splunk بررسی کنید و از سیستم‌های SIEM برای تشخیص تلاش‌های راه‌اندازی فعالیت از پس‌زمینه استفاده نمایید.
  • ایزوله‌سازی محیط: اپلیکیشن‌های حساس را در پروفایل‌های کاری (Work Profile) با Android Enterprise ایزوله کنید و تست‌های امنیتی را در محیط‌های سندباکس انجام دهید.
  • اسکن و تست امنیتی: از ابزارهایی مانند Mobile Security Framework (MobSF) یا Drozer برای اسکن PendingIntentها و تست سناریوهای BAL Bypass استفاده کنید و تست‌های نفوذ را برای دور زدن محدودیت‌های پس‌زمینه اجرا نمایید.
  • آموزش: توسعه‌دهندگان را در مورد مدیریت صحیح PendingIntent و محدودیت‌های BAL آموزش دهید؛ کاربران را از ریسک اپ‌های دانلودشده از منابع ناشناخته و اهمیت به‌روزرسانی‌های امنیتی آگاه سازید.

اجرای این اقدامات، ریسک افزایش سطح دسترسی از طریق سوءاستفاده از BAL Bypass را به‌طور چشمگیری کاهش می‌دهد و امنیت فریم‌ورک اندروید را در برابر تهدیدات لوکال تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
حمله از طریق دسترسی محلی آغاز می‌شود؛ مهاجم یا اپ مخرب با دسترسی کاربر عادی می‌تواند PendingIntentهای قدیمی یا توکن‌های باقی‌مانده را بازیابی یا دوباره استفاده کند تا شرایط لازم برای راه‌اندازی فعالیت از پس‌زمینه فراهم شود.

Credential Access (TA0006)
با اجرای پس‌زمینه، اپ ممکن است به واسطه تعامل با دیگر سرویس‌ها یا UIهای تقلیدی، اطلاعات حساس یا توکن‌های محلی را دریافت یا سرقت کند.

Discovery (TA0007)
مهاجم محلی می‌تواند ساختار زمان‌بندی‌ها، توکن‌ها و PendingIntentهای فعال را کشف کند و نقاط replay را شناسایی نماید.

Privilege Escalation (TA0004)
با بهره‌برداری از توکن‌های زمان‌دار حفظ‌شده، یک اپ با سطوح دسترسی محدود می‌تواند فعالیت‌هایی اجرا کند که معمولاً نیاز به تعامل کاربر یا مجوز بالاتر دارند و عملاً سطح دسترسی محلی خود را افزایش دهد.

Collection (TA0009)
پس از راه‌اندازی Activity از پس‌زمینه، اپ مهاجم می‌تواند داده‌های نمایش‌داده‌شده، پوش نوتیفیکیشن‌ها یا اطلاعات کاربر را جمع‌آوری کند.

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده می‌توانند محلی ذخیره یا به خارج ارسال شوند؛ مهاجم می‌تواند از کانال‌های شبکه یا مکانیزم‌های بین‌پروسه برای خروج اطلاعات استفاده کند.

Defense Evasion (TA0005)
مهاجم ممکن است از replay، استفاده مجدد از توکن‌ها یا اپ‌های بدون UI برای پنهان‌سازی اثبات حمله استفاده کند و لاگ‌ها را کم‌اثر نماید.

Impact (TA0040)
پیامد اصلی شامل افزایش سطح دسترسی، نقض محرمانگی و امکان اختلال در عملیات اپ‌ها است؛ در بدترین حالت، مهاجم می‌تواند عملیات حساس یا تغییرات سیستم را بدون اطلاع کاربر اجرا کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-26436
  2. https://www.cvedetails.com/cve/CVE-2025-26436/
  3. https://source.android.com/docs/security/bulletin/2025-05-01
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26436
  5. https://vuldb.com/?id.322630
  6. https://android.googlesource.com/platform/frameworks/base/+/bba26504af51d2dd3b8eddeb96e59cac8fcb9070
  7. https://android.googlesource.com/platform/frameworks/base/+/ccba6717779fea0a86b6326f9925c36fc837738c
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-26436
  9. https://cwe.mitre.org/data/definitions/863.html

همچنین ممکن است دوست داشته باشید

CVE-2025-26442

CVE-2025-26392

CVE-2025-26633

CVE-2025-26781

CVE-2025-26782

CVE-2025-8088

CVE-2025-24201

CVE-2025-24983

CVE-2025-24985

CVE-2025-24991

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×