خانه » CVE-2025-56146
هشدار‌های سایبری

CVE-2025-56146

Missing SSL Certificate Validation in IndSMART Android App

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 193 بازدید
هشدار سایبری CVE-2025-56146
  • شناسه CVE-2025-56146 :CVE
  • CWE-599, CWE-295, CWE-749 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 23, 2025
  • به روز شده: سپتامبر 23, 2025
  • امتیاز: 5.3
  • نوع حمله: Man-in-the-middle
  • اثر گذاری: Information Disclosure
  • حوزه: تلفن همراه
  • برند: Indian Bank
  • محصول: IndSMART Android App
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

اپلیکیشن اندرویدی IndSMART بانک Indian Bank نسخه 3.8.1 در کلاس NuWebViewActivity از WebView به‌صورت ناامن استفاده می‌کند. این کلاس بدون اعتبارسنجی منبع URL، بدون پیاده‌سازی مدیریت خطای SSL/TLS و با فعال‌سازی جاوااسکریپت، صفحات حساس مانند ورود به حساب، دریافت OTP و پرداخت UPI را درون WebView بارگذاری می‌کند. در نتیجه، مهاجم در موقعیت حمله مرد میانی (MITM) روی شبکه‌های ناامن (مانند WiFi عمومی) می‌تواند گواهی‌نامه جعلی ارائه دهد و ترافیک را شنود یا دستکاری کند و به اطلاعات محرمانه کاربر دسترسی پیدا کند.

توضیحات

آسیب‌پذیری CVE‑2025‑56146 ناشی از ترکیب چند ضعف در اعتبارسنجی ارتباطات SSL/TLS و پیکربندی ناامن WebView در اپلیکیشن IndSMART متعلق به بانک Indian Bank است. در این اپلیکیشن، کلاس NuWebViewActivity مقدار webviewurl را مستقیماً از Intent ورودی دریافت کرده و بدون استفاده از لیست سفید (Allowlist) یا هرگونه اعتبارسنجی دامنه، همان مقدار را در WebView بارگذاری می‌کند. این عملکرد، ورودی را به‌عنوان مجاز فرض کرده و امکان تزریق URL دلخواه، حتی از سوی یک برنامه مخرب را فراهم می کند.

این طراحی نادرست با سه طبقه‌بندی شناخته‌شده امنیتی نیز مطابقت دارد. نخست اعتبارسنجی نادرست گواهی‌نامه (مطابق با CWE‑295) که زمانی رخ می‌دهد که برنامه به جای بررسی دقیق معتبر بودن گواهی‌نامه ارائه‌شده، به ارتباط TLS ادامه می‌دهد. دوم نادیده گرفتن خطاهای SSL/TLS (مطابق با CWE-599) که بیان می‌کند برنامه هنگام مواجهه با گواهی‌نامه نامعتبر یا جعلی هیچ گونه واکنش ایمن مناسبی نشان نمی‌دهد. در این مورد، WebView به دلیل عدم پیاده‌سازی متد onReceivedSslError در WebViewClient، تمامی خطاهای SSL را نادیده می‌گیرد و بدون هشدار به ارتباط ادامه می‌دهد. سوم، در معرض قرار گرفتن متد یا قابلیت حساس (CWE‑749) که ناشی از فعال بودن جاوااسکریپت در WebView است؛ در حالی که همین WebView مسئول بارگذاری صفحات بسیار حساس شامل ورود، دریافت رمز یکبارمصرف (OTP)، اطلاعات تراکنش و پرداخت UPI است. ترکیب WebView با جاوااسکریپت فعال و URL کنترل‌نشده، سطح حمله را گسترده می‌کند و امکان اجرای اسکریپت‌ها یا تزریق محتوای دلخواه را برای مهاجم فراهم می‌سازد.

در این شرایط، مهاجم در موقعیت حمله مرد میانی (MITM) می‌تواند با ارائه یک گواهی‌نامه جعلی، خودامضا یا منقضی‌شده، لایه امنیتی TLS را دور زده و ارتباط کاربر با سرور را شنود، بازنویسی یا دستکاری کند. این فرایند به‌سادگی قابل خودکارسازی است و با ابزارهایی مانند mitmproxy، BetterCAP یا حتی ایجاد یک نقطه دسترسی جعلی (Fake Hotspot) قابل انجام خواهد بود. از آنجا که WebView هیچ‌یک از خطاهای مرتبط با گواهی‌نامه را مدیریت نمی‌کند، اپلیکیشن بدون نمایش کوچک‌ترین هشدار، به ارتباط ناامن ادامه می‌دهد و کاربر کاملاً بی‌خبر باقی می‌ماند. در نتیجه، اطلاعات حساسی مانند نام کاربری، رمز عبور، کدهای OTP و جزئیات تراکنش در معرض افشا قرار می‌گیرند.

در این گزارش، کد اثبات مفهومی (PoC) تنها با هدف تأیید وجود آسیب‌پذیری ارائه شده و شامل هیچ کد اجرایی مخرب یا دستورالعمل سوءاستفاده عملی نیست. این PoC صرفاً مراحل بررسی ایستا و پویا برای تحلیل NuWebViewActivity و اطمینان از وجود پیکربندی ناامن WebView را تشریح می‌کند و فقط برای تیم‌های توسعه و امنیت قابل استفاده است. در زمان نگارش این گزارش، پچ یا به روزرسانی امنیتی برای این آسیب‌پذیری از سوی بانک یا توسعه‌دهنده منتشر نشده است و نسخه فعلی اپلیکیشن همچنان در معرض ریسک قرار دارد.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

لیست محصولات آسیب پذیر

Versions Product
3.8.1 IndSMART Android App

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Indian Bank را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
2,690 site:.ir “Indian Bank” Indian Bank

نتیجه گیری

این آسیب‌پذیری با شدت متوسط امکان شنود و دستکاری اطلاعات حساس کاربران را در شبکه‌های ناامن فراهم می‌کند. با توجه به عدم انتشار پچ تا این لحظه، اقدامات زیر برای کاهش ریسک و جلوگیری از بهره‌برداری ضروری است:

  • به‌روزرسانی فوری: به‌محض انتشار نسخه‌ی جدید اپلیکیشن توسط Indian Bank، کاربران و سازمان‌ها باید آن را فوراً نصب کنند.
  • اجتناب از شبکه‌های ناامن: تا زمان انتشار پچ، از اتصال به WiFi عمومی، Hotspotهای ناشناس و شبکه‌های باز خودداری کنید، زیرا مهاجم می‌تواند به راحتی ترافیک را شنود یا دستکاری کند.
  • استفاده از VPN معتبر: در صورت لزوم اتصال به شبکه‌های عمومی، حتماً از شبکه خصوصی مجازی (VPN) معتبر استفاده کنید.
  • غیرفعال‌سازی موقت اپلیکیشن: سازمان‌هایی که سیاست BYOD (استفاده از دستگاه‌های شخصی کارکنان) دارند می‌توانند تا زمان رفع آسیب‌پذیری، دسترسی به IndSMART را از طریق سامانه مدیریت دستگاه‌های همراه (MDM) مسدود کنند.
  • مسدودسازی در سطح شبکه سازمانی: استفاده از فایروال اپلیکیشن وب (WAF) یا پروکسی‌های سازمانی برای فیلتر کردن ترافیک اپلیکیشن تا زمان انتشار پچ، می‌تواند لایه حفاظتی اضافی ایجاد کند.

اجرای این اقدامات، به‌ویژه استفاده از VPN و مسدودسازی موقت، تا زمان انتشار پچ رسمی می‌تواند ریسک سرقت اطلاعات بانکی شامل نام کاربری، رمز عبور، رمز یک‌بار مصرف (OTP) و جزئیات تراکنش‌ها را به‌طور چشمگیری کاهش دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در این سناریو ورودی مخرب از طریق Intentهای کلاینت‌ساید یا تزریق URL در اکوسیستم اندروید وارد اپلیکیشن می‌شود. نبود Allowlist و اعتماد مستقیم به webviewurl باعث می‌شود هر اپلیکیشن یا فرآیند محلی بتواند نقطه ورود بسازد. این ورودی مسیر WebView را منحرف کرده و مهاجم را قادر می‌کند صفحه دلخواه را به‌جای مقاصد بانکی رسمی بارگذاری کند؛ در نتیجه سطح حمله از لایه شبکه به لایه برنامه منتقل می‌شود.

Credential Access (TA0006)
به‌دلیل بارگذاری صفحات ورود، دریافت OTP و پرداخت UPI داخل WebView، مهاجم در حمله MITM می‌تواند محتوای فرم‌ها را استراق‌سمع یا دستکاری کند.

Discovery (TA0007)
مهاجم در جریان MITM می‌تواند ساختار درخواست‌ها، صفحات حساس و endpointهای بانکی را شناسایی کند. این عدم اعتبارسنجی TLS امکان تحلیل ترافیک و شناسایی مسیرهای حمله بعدی را فراهم می‌کند و لایه امنیتی تراکنشی را کاملاً شفاف می‌سازد.

Collection (TA0009)
WebView ناامن تمام داده‌های حساس عبوری— رمز عبور، OTP، جزئیات تراکنش، شناسه کاربری— را در معرض جمع‌آوری از سوی مهاجم قرار می‌دهد.

Exfiltration (TA0010)
به‌محض جمع‌آوری داده، مهاجم می‌تواند اطلاعات را در همان کانال MITM یا از طریق کانال جانبی منتقل کند. از آنجا که TLS عملاً دور زده شده است، خروج داده هیچ هشدار یا گسستی در اپلیکیشن ایجاد نمی‌کند و ترافیک کاملاً عادی جلوه می‌کند.

Defense Evasion (TA0005)
نادیده‌گرفتن خطاهای SSL/TLS باعث می‌شود حملات MITM از دید اپلیکیشن، لاگ‌ها یا هر سازوکار کنترل داخلی پنهان بماند. مهاجم گواهی‌نامه جعلی ارائه می‌کند و WebView بدون هیچ هشدار یا توقفی آن را می‌پذیرد؛ این دقیقاً یک مسیر فرار از لایه تدافعی ارتباطی محسوب می‌شود.

Impact (TA0040)
پیامد مستقیم، سرقت اعتبار، برداشت غیرمجاز، دستکاری تراکنش، تغییر مقصد پرداخت UPI و در نهایت compromise کامل حساب بانکی است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-56146
  2. https://www.cvedetails.com/cve/CVE-2025-56146/
  3. https://medium.com/@parvbajaj2000/cve-2025-56146-missing-ssl-certificate-validation-in-indian-bank-indsmart-android-app-9db200ac1c69
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-56146
  5. https://vuldb.com/?id.325682
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-56146
  7. https://cwe.mitre.org/data/definitions/599.html
  8. https://cwe.mitre.org/data/definitions/295.html
  9. https://cwe.mitre.org/data/definitions/749.html

همچنین ممکن است دوست داشته باشید

CVE-2026-2441

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.