شناسه CVE-2026-0047 :CVE
CWE-280 :CWE
yes :Advisory
منتشر شده: مارس 2, 2026
به روز شده: مارس 6, 2026
امتیاز: 8.4
نوع حمله: Missing Permission Check

اثر گذاری: Local Privilege Escalation (LPE)
حوزه: تلفن همراه
برند: Google
محصول: Android
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

این آسیب‌پذیری در سیستم‌عامل اندروید از نوع مدیریت نامناسب مجوزها است که در کلاس ActivityManagerService و متد dumpBitmapsProto رخ می‌دهد. این ضعف به دلیل عدم وجود کنترل دسترسی مناسب، می‌تواند به یک برنامه نصب‌شده روی دستگاه اجازه دهد بدون نیاز به مجوزهای ویژه به تصاویر رابط کاربری و اطلاعات متعلق به سایر برنامه‌های در حال اجرا دسترسی پیدا کند. در صورت اکسپلویت موفق، امکان افشای اطلاعات حساس و افزایش سطح دسترسی لوکال (Privilege Escalation) فراهم می‌شود.

توضیحات

آسیب‌پذیری CVE-2026-0047 از نوع مدیریت نادرست در اعمال محدودیت‌های دسترسی و مجوزهای ناکافی مطابق با CWE-280 است. این آسیب‌پذیری در متد dumpBitmapsProto از کلاس ActivityManagerService رخ می‌دهد، جایی که کنترل دسترسی مبتنی بر مجوز DUMP پیش از اجرای عملیات انجام نمی‌شود. در نتیجه، هر برنامه نصب‌شده با سطح دسترسی عادی می‌تواند این متد را فراخوانی کرده و به داده‌هایی دسترسی پیدا کند که طبق طراحی سیستم‌عامل، تنها باید برای پردازه‌های دارای مجوز DUMP قابل دسترس باشند.

بر اساس تحلیل فنی و کد اثبات مفهومی (PoC) منتشرشده، این آسیب‌پذیری از طریق یک درخواست لوکال در سطح سیستم‌عامل اندروید قابل سوءاستفاده است. مهاجم برای سوءاستفاده از این ضعف به هیچ‌گونه مجوز اضافی نیاز ندارد و حتی یک برنامه بدون دسترسی ویژه نیز قادر به اجرای حمله است. همچنین این آسیب‌پذیری نیازی به تعامل کاربر ندارد که این موضوع امکان اجرای حمله به‌صورت پنهانی را فراهم می‌کند.

در PoC منتشرشده نشان داده شده است که با ارسال یک تراکنش Binder سفارشی‌شده، مسیر اجرای متد dumpBitmapsProto بدون تولید SecurityException فعال می‌شود. در نتیجه، داده‌های مربوط به بیت‌مپ‌های رابط کاربری از پردازه‌های در حال اجرا قابل استخراج هستند. Binder در اندروید مکانیزم اصلی ارتباط بین‌پردازه‌ای (IPC) برای تبادل داده میان برنامه‌ها و سرویس‌های سیستمی است.

همچنین PoC نشان می‌دهد داده‌های خروجی شامل بافرهای سریال‌سازی‌شده Protobuf (Protocol Buffers) و تصاویر PNG استخراج‌شده از برنامه‌های در حال اجرا است.

از منظر اثرات امنیتی، این ضعف می‌تواند سه اصل اصلی امنیت اطلاعات را تحت تأثیر قرار دهد. از نظر محرمانگی (Confidentiality)، مهاجم قادر است تصاویر رابط کاربری سایر برنامه‌ها را مشاهده کرده و اطلاعات حساسی نظیر پیام‌ها، اطلاعات حساب کاربری، داده‌های مالی، اعلان‌ها و محتوای در حال نمایش را استخراج کند. از نظر یکپارچگی (Integrity)، دسترسی غیرمجاز به داده‌های داخلی سیستم و عبور از محدودیت‌های طراحی‌شده برای برنامه‌های عادی می‌تواند زمینه‌ساز افزایش سطح دسترسی لوکال شود. همچنین از منظر دسترس‌پذیری (Availability)، در صورت ترکیب این ضعف با سایر آسیب‌پذیری‌ها امکان تأثیرگذاری بر عملکرد کامپوننت‌های سیستمی نیز وجود خواهد داشت.

بر اساس بولتن امنیتی اندروید، این آسیب‌پذیری در دسته افزایش سطح دسترسی (Elevation of Privilege – EoP) طبقه‌بندی شده است. اگرچه اثر مستقیم این ضعف بیشتر به افشای اطلاعات شباهت دارد، اما دلیل قرارگیری آن در این دسته این است که برنامه مهاجم می‌تواند به داده‌ها و منابعی دسترسی پیدا کند که طبق مدل امنیتی اندروید نباید در اختیار برنامه‌های عادی قرار داشته باشند. به عبارت دیگر، مهاجم از محدودیت‌های امنیتی اعمال‌شده در چارچوب سندباکس (Sandbox) برنامه‌ها عبور کرده و به سطحی از دسترسی دست می‌یابد که فراتر از مجوزهای واقعی آن برنامه است.

گوگل این آسیب‌پذیری را در بولتن امنیتی مارس 2026 پچ کرده است. در این پچ، با افزودن بررسی مجوز enforceCallingOrSelfPermission(DUMP) در ابتدای متد dumpBitmapsProto، دسترسی برنامه‌های فاقد مجوز به این قابلیت مسدود شده است.

CVSS

Score	Severity	Version	Vector String
8.4	HIGH	3.1	CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

شکل 1: تفسیر جدول CVSS

لیست محصولات آسیب پذیر

Versions	Product
affected at 16-qpr2	Android

لیست محصولات بروز شده

Versions	Product
Android 16 QPR2 (March 2026 Security Bulletin fixed build)	Android

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Android را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
5,610,000	site:.ir “Android”	Android

نتیجه گیری

این آسیب‌پذیری با شدت بالا در سیستم‌عامل اندروید، ناشی از نبود بررسی مجوز در متد dumpBitmapsProto است و می‌تواند منجر به افشای اطلاعات حساس و افزایش سطح دسترسی لوکال شود. وجود PoC عمومی نشان می‌دهد که این ضعف دارای ریسک عملیاتی بالا و قابلیت اکسپلویت در شرایط واقعی است.

برای کاهش ریسک، اقدامات زیر توصیه می‌شود:

به‌روزرسانی فوری سیستم‌عامل اندروید: تمامی دستگاه‌ها باید به‌روزرسانی امنیتی مربوط به بولتن مارس 2026 را دریافت و اعمال کنند. این اقدام مؤثرترین و مهم‌ترین راهکار برای رفع آسیب‌پذیری است. سایر راهکارهای امنیتی نقش مکمل را داشته و می‌توانند ریسک سوءاستفاده از این آسیب‌پذیری و تهدیدات مشابه را کاهش دهند.
جلوگیری از استفاده از نسخه‌های آزمایشی (Beta) در محیط عملیاتی: این آسیب‌پذیری در Android 16 QPR2 Beta گزارش شده است؛ بنابراین استفاده از بیلدهای آزمایشی در محیط‌های حساس باید محدود یا ممنوع شود.
کنترل نصب برنامه‌ها از منابع غیرمعتبر: با توجه به اینکه حمله توسط یک برنامه نصب‌شده انجام می‌شود، نصب اپلیکیشن‌ها باید صرفاً از منابع معتبر و تحت سیاست‌های امنیتی سخت‌گیرانه انجام گیرد.
اعمال اصل حداقل دسترسی: برنامه‌ها نباید مجوزهای غیرضروری دریافت کنند و دسترسی‌های حساس باید به‌صورت دوره‌ای بازبینی شوند.
نظارت بر عملکرد برنامه‌ها: سیستم‌های مانیتورینگ باید فراخوانی‌های غیرعادی به سرویس‌های سیستمی و الگوهای مشکوک در ارتباطات بین‌پردازه‌ای (IPC / Binder) را شناسایی و تحلیل کنند.
ایمن‌سازی (Hardening) و مدیریت پچ: سازمان‌ها باید سیاست مشخصی برای بررسی سطح پچ امنیتی دستگاه‌ها، به‌روزرسانی منظم و حذف نسخه‌های آسیب‌پذیر داشته باشند.
استفاده از مدیریت دستگاه‌های سازمانی (MDM): در محیط‌های سازمانی، اعمال سیاست‌های امنیتی برای کنترل نصب برنامه‌ها و محدودسازی دستگاه‌های غیرمجاز ضروری است.
بازبینی برنامه‌های جانبی و ابزارهای توسعه: چون این ضعف در مسیرهای سیستمی رخ می‌دهد، حتی ابزارهای تست و اپلیکیشن‌های ظاهراً بی‌خطر نیز باید از نظر عملکرد و مجوزها بررسی شوند.

اجرای این اقدامات در کنار نصب پچ امنیتی رسمی گوگل می‌تواند احتمال سوءاستفاده موفق از این آسیب‌پذیری را به میزان قابل توجهی کاهش داده و از افشای اطلاعات حساس و سوءاستفاده از منابع سیستمی جلوگیری کند.

امکان استفاده در تاکتیک‌های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)

برای بهره‌ برداری از این آسیب ‌پذیری، مهاجم نیاز دارد کاربر را فریب دهد تا یک برنامه مخرب را روی دستگاه خود نصب کند، این کار می‌تواند از طریق مهندسی اجتماعی، فیشینگ، دانلود از فروشگاه‌های برنامه شخص ثالث (Sideloading) یا قرار دادن برنامه در کنار یک برنامه قانونی انجام شود. این برنامه هیچ مجوز خطرناکی در هنگام نصب درخواست نمی ‌کند و ظاهری کاملاً عادی و کاربردی دارد. نقطه ورود (Initial Access) از طریق نصب برنامه توسط خود کاربر صورت می ‌گیرد.

Execution (TA0002)

پس از نصب، کاربر برنامه مخرب را اجرا می‌کند (یا برنامه ممکن است در پس‌زمینه اجرا شود). بلافاصله، برنامه مهاجم با فراخوانی تابع `dumpBitmapsProto` از طریق Binder، درخواست جمع‌آوری bitmapها را به `ActivityManagerService` ارسال می‌کند. این فراخوانی مستقیماً توسط سیستم پردازش می‌شود و bitmapها به برنامه مهاجم بازگردانده می‌شوند.

Privilege Escalation (TA0004)

این آسیب‌پذیری در واقع یک حفره ارتقای دسترسی محلی (Local Privilege Escalation) محسوب می‌ شود. برنامه مخرب که به صورت پیش ‌فرض در سند باکس اندروید محبوس است و هیچ مجوزی برای دسترسی به داده ‌های سایر برنامه‌ ها ندارد، با سوء استفاده از نقص بررسی مجوزها در AMS، محدودیت ‌های امنیتی را دور می ‌زند و این کار به برنامه اجازه می ‌دهد تا به داده ‌های خصوصی سایر اپلیکیشن ‌ها که در حالت عادی کاملاً ایزوله هستند، دسترسی پیدا کند.

Defense Evasion (TA0005)

مکانیزم اکسپلویت به گونه ‌ای طراحی شده که بسیار پنهان عمل کند. از آنجایی که برنامه مخرب برای نصب یا اجرا به هیچ مجوز حساسی (Dangerous Permissions) نیاز ندارد، کاربر در هنگام نصب با هیچ ‌گونه هشدار امنیتی مواجه نمی‌شود و برنامه می تواند بدون هیچ مجوزی (Zero Permissions) کار کند. همچنین، استفاده از تراکنش‌ های مستقیم Binder باعث دور زدن محدودیت‌ های Hidden API اندروید می ‌شود، که این امر تشخیص رفتار مخرب را برای آنتی‌ ویروس ‌های موبایل و سیستم ‌های تشخیص نفوذ بسیار دشوار می‌سازد.

Credential Access (TA0006)

پیامد اصلی این آسیب ‌پذیری، سرقت اطلاعات خصوصی است. مهاجم می ‌تواند با استفاده از تابع dumpBitmapsProto، بیت ‌مپ‌ های رابط کاربری (UI Bitmaps) را از تمام برنامه‌ های در حال اجرا روی دستگاه سرقت کند. این بیت ‌مپ ‌ها می ‌توانند حاوی اطلاعات بسیار حساسی مانند رمزهای عبور در حال تایپ، پیام ‌های خصوصی، اطلاعات بانکی، یا کد های تایید هویت دو مرحله ‌ای (2FA) باشند. این عمل عملاً نوعی جاسوسی از صفحه نمایش و جمع‌آوری اعتبارنامه‌ ها بدون نیاز به مجوزهای مانند مجوز Screen Capture است.

Discovery (TA0007)

قبل از حمله، برنامه مخرب می‌تواند به طور خودکار و بدون اطلاع کاربر، لیست برنامه‌های در حال اجرا روی دستگاه را شناسایی کرده و برای هر کدام که حاوی اطلاعات حساس احتمالی است، bitmap مربوطه را جمع‌آوری کند. همچنین می‌تواند با بررسی نام بسته (package name) برنامه‌ها، اهداف خود را اولویت‌بندی کند (مانند برنامه‌های بانکی، پیام‌رسان‌ها، ایمیل).

Impact (TA0040)

بهره‌برداری موفق از این آسیب‌پذیری یک نقض جدی حریم خصوصی و امنیت داده‌ها است. مهاجم با دسترسی به bitmapهای صفحه نمایش تمام برنامه‌های در حال اجرا، قادر به نقض محرمانگی (Confidentiality) اطلاعات حساس کاربر است. این دسترسی می‌تواند منجر به سرقت اطلاعات بانکی، رمزهای عبور، پیام‌های خصوصی، عکس‌های شخصی، اسناد کاری و هر داده دیگری که در لحظه روی صفحه نمایش داده می‌شود، گردد. در یک محیط سازمانی، این افشای اطلاعات می‌تواند منجر به نقض داده‌های شرکتی، جاسوسی صنعتی، و دسترسی به اطلاعات محرمانه مشتریان شود. در نهایت، اعتماد کاربران از بین رفته و سازمان با هزینه‌های سنگین ناشی از نقض داده‌ها و خسارت به اعتبار خود مواجه خواهد شد.

منابع

گزارش اثبات آسیب‌پذیری CVE-2026-0047

اطلاعات آسیب‌پذیری

عنوان: افزایش سطح دسترسی و دسترسی غیرمجاز به اطلاعات خصوصی ناشی از نبود کنترل مجوز در ActivityManagerService در اندروید

شناسه: CVE-2026-0047

وضعیت مشاوره: Advisory / Patch Available

امتیاز: CVSS: 8.4 (HIGH)

محصول: Google Android Framework

محصول / نسخه‌های آسیب‌پذیر

در نسخه‌های زیر:

Android 16 QPR2 Beta 1
Android 16 QPR2 Beta 2
Android 16 QPR2 Beta 3

محیط‌های درگیر

دستگاه‌های Android 16 QPR2 که وصله امنیتی مارس 2026 را دریافت نکرده‌اند
سازمان‌هایی که از دستگاه‌های بتای اندروید برای تست و توسعه استفاده می‌کنند
تلفن‌ها و تبلت‌هایی که از نسخه‌های آزمایشی QPR2 استفاده می‌کنند
دستگاه‌های Pixel با برنامه Beta که به روزرسانی مارس 2026 را دریافت نکرده‌اند
محیط‌های BYOD و سازمانی که نصب نرم‌افزار توسط کاربران مجاز است
دستگاه‌هایی که برنامه‌های شخص ثالث را از منابع مختلف نصب می‌کنند
برنامه‌های کاربردی که اطلاعات حساسی را در رابط کاربری (UI) خود نمایش می‌دهند (مانند برنامه‌های بانکی، پیام‌رسان‌ها، ایمیل‌ها، کیف پول‌های رمزارز و تنظیمات سیستم)

کامپوننت‌های آسیب‌پذیر

کلاس ActivityManagerService.java
متد dumpBitmapsProto در سرویس ActivityManager
Android Framework
زیرسیستم ارتباطات بین‌پردازنده‌ای Binder (IPC)
سرویس Activity Manager
مجوز android.permission.DUMP

ریشه مشکل (Root Cause Analysis)

ریشه اصلی این آسیب‌پذیری در طراحی و پیاده‌سازی متدهای مدیریتی سیستم است. متد dumpBitmapsProto در ActivityManagerService برای اهداف توسعه و دیباگ طراحی شده است تا بتواند تصاویر (Bitmaps) از رابط کاربری برنامه‌های در حال اجرا را به صورت فرمت Protobuf تولید و دامپ کند. این متد باید فقط برای فرآیندهایی که دارای مجوز سیستمی DUMP هستند (مانند shell یا system) قابل فراخوانی باشد. با این حال، به دلیل فراموشی توسعه‌دهندگان در اعمال تابع enforceCallingOrSelfPermission(DUMP) در ابتدای این متد، هر برنامه کاربردی معمولی (Third-party app) می‌تواند بدون داشتن هیچ‌گونه مجوزی در فایل AndroidManifest.xml، از طریق ارسال تراکنش‌های خام Binder (Raw Binder Transactions) مستقیماً این متد را فراخوانی کرده و به خروجی آن دسترسی یابد.

این نقص به هر برنامه‌ای در سیستم، حتی برنامه‌ای که هیچ مجوزی (Zero Permissions) از کاربر درخواست نکرده است، اجازه می‌دهد تا با یک فراخوانی IPC/Binder ساده به AMS، بیت‌مپ‌های صفحه نمایش تمام برنامه‌های در حال اجرا را بدون هیچ محدودیتی استخراج کند

نکته مهم این است که اکسپلویت از تراکنش خام (Raw Binder) Binder از طریق متد IBinder.transact استفاده می‌کند. این روش کاملاً محدودیت‌های hidden_api_policy اندروید را دور می‌زند، زیرا مستقیماً با لایه Binder ارتباط برقرار می‌کند و نیازی به فراخوانی مستقیم متد از طریق Java Reflection یا API های سطح بالا ندارد

بخش آسیب‌پذیر

رفتار ناامن سیستم:

عدم اعتبارسنجی مجوز فراخوانی‌کننده در متد dumpBitmapsProto از سرویس ActivityManagerService، این رفتار باعث می‌شود که مدل امنیتی Sandbox اندروید دور زده شده و یک برنامه مخرب بتواند بدون داشتن مجوزهای پرخطر (مانند READ_EXTERNAL_STORAGE یا DUMP) و بدون نیاز به دسترسی Accessibility Service، به داده‌های بصری (Visual Data) و محتوای در حال نمایش سایر برنامه‌ها دسترسی پیدا کند

نحوه سوءاستفاده مهاجم:

مهاجم یک برنامه عادی روی دستگاه نصب می‌کند که هیچ مجوزی از کاربر درخواست نمی‌کند
برنامه بدون نیاز به مجوز، متد آسیب‌پذیر را فراخوانی می‌کند
سرویس ActivityManagerService درخواست را پردازش می‌کند
اطلاعات خصوصی یا حساس سیستم به برنامه مهاجم بازگردانده می‌شود
مهاجم از اطلاعات بازیابی شده برای افزایش سطح دسترسی یا حملات بعدی استفاده می‌کند

نقش این آسیب‌پذیری در زنجیره حمله

این آسیب‌پذیری یک ابزار جمع‌آوری اطلاعات (Information Collection) و گام اولیه برای افزایش سطح دسترسی (Initial Step for Privilege Escalation) در زنجیره حمله محلی محسوب می‌شود. با توجه به ماهیت “Zero Permission” (بدون نیاز به مجوز) بودن این آسیب پذیری، بدافزارها به راحتی می‌توانند از فیلترهای بررسی مجوز در فروشگاه‌های اپلیکیشن (مانند Google Play Protect) عبور کنند، زیرا هیچ مجوز مشکوکی از کاربر درخواست نمی‌کنند. مهاجم نیازی به هیچ‌گونه تعامل کاربر (User Interaction) پس از نصب برنامه ندارد. این نقص می‌تواند به عنوان مرحله اول در یک حمله بزرگتر (مثلاً سرقت توکن‌های احراز هویت نمایش داده شده در UI، کدهای OTP، یا مهندسی اجتماعی بر اساس اطلاعات استخراج شده از پیام‌های خصوصی) استفاده شود. این اطلاعات می‌تواند مستقیماً برای سرقت اعتبارنامه‌ها یا به عنوان گام اولیه برای زنجیره افزایش سطح دسترسی (chaining with other vulnerabilities) استفاده شود

پیش‌نیازهای بهره‌برداری (Prerequisites)

دستگاه اندرویدی با نسخه آسیب‌پذیر
مهاجم باید بتواند برنامه مخرب خود را روی دستگاه هدف نصب و اجرا کند (نیاز به تعامل کاربر برای نصب APK)
برنامه مخرب نیازی به هیچ‌گونه مجوز خاص (مانند Root، Accessibility یا DUMP) ندارد
برنامه‌های هدف (مانند اپلیکیشن بانکی) باید در حال اجرا بوده و بیت‌مپ‌های آن‌ها در حافظه کش AMS موجود باشد
عدم نصب وصله امنیتی

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

متد dumpBitmapsProto باید در همان خطوط ابتدایی خود، تابع enforceCallingOrSelfPermission(android.Manifest.permission.DUMP) را فراخوانی کند
در صورت فراخوانی این متد توسط یک برنامه عادی (با UID >= 10000)، سیستم باید بلافاصله یک SecurityException پاسخ دهد و درخواست را رد کند
اصل Fail Secure، در صورت عدم وجود بررسی مجوز، دسترسی به داده‌های حساس باید به طور پیش‌فرض مسدود شود
متدهای عمومی سرویس‌های سیستمی که از طریق Binder در معرض دید قرار می‌گیرند باید در فرآیند بررسی امنیتی (security review) دقیق‌تری قرار گیرند
سیستم‌عامل باید از نشت اطلاعات بصری برنامه‌های دیگر به برنامه‌های کاربری (User-space apps) از طریق هرگونه متد دیباگ یا dump جلوگیری کند

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

نصب وصله امنیتی مارس 2026 اندروید
به‌روزرسانی دستگاه به Security Patch Level 2026-03-05 یا جدیدتر
حذف برنامه‌های ناشناس و غیرضروری
عدم نصب برنامه‌ها از منابع نامعتبر (Unknown Sources) و فقط استفاده از فروشگاه‌های رسمی

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

استفاده از راهکارهای MDM (Mobile Device Management) در سازمان‌ها برای اطمینان از اینکه دستگاه‌های کاری به نسخه‌های بتا و آسیب‌پذیر اندروید مجهز نیستند
پرهیز از نصب برنامه‌های ناشناس یا برنامه‌هایی که از منابع غیررسمی (Sideload) دانلود شده‌اند، به ویژه در نسخه‌های بتای سیستم‌عامل
در محیط‌های حساس، استفاده از نسخه‌های بتای سیستم‌عامل را محدود کنید
استفاده از راهکارهای EDR موبایل برای شناسایی رفتارهای غیرعامل در سطح سیستم عامل

اقدامات بلندمدت برای کاهش ریسک:

استقرار راهکارهای خودکار به‌روزرسانی امنیتی (Patch Management) برای اعمال سریع وصله‌ها
تست نفوذ دوره‌ای برنامه‌های توسعه‌یافته داخلی برای اطمینان از عدم نشت اطلاعات حساس از طریق رابط کاربری
آموزش کاربران در خصوص خطرات نصب برنامه‌های جانبی (Sideloading) و مهندسی اجتماعی
پیاده‌سازی سیاست‌های سخت‌گیرانه برای جلوگیری از نصب برنامه‌های خارج از فروشگاه‌های معتبر در دستگاه‌های سازمانی

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

فراخوانی غیرعادی ActivityManagerService
دسترسی برنامه‌های عادی به اطلاعات سیستمی
افزایش حجم لاگ‌های مربوط به dumpBitmapsProto
تراکنش‌های Binder غیرعادی به سرویس activity با کد 117
ایجاد پایپ‌های موقت (ParcelFileDescriptor) در حین تراکنش‌های Binder
لاگ‌های سیستم (Logcat) که نشان‌دهنده فراخوانی‌های مکرر و غیرعادی به ActivityManagerService با درخواست dumpBitmapsProto از سمت یک برنامه کاربری (UID غیر سیستمی) هستند

تلاش برنامه برای خواندن حجم زیادی از داده از یک ParcelFileDescriptor داخلی و جستجو برای هدرهای فایل PNG

منابع پیشنهادی برای مانیتورینگ و پایش:

بررسی لاگ‌های logcat در محیط‌های آزمایشگاهی برای یافتن NullPointerException یا کرش‌های مکرر در system_server که ممکن است در اثر فراخوانی‌های ناقص Binder رخ دهد
ابزارهای مانیتورینگ ترافیک شبکه موبایل برای شناسایی ارسال‌های حجیم دیتا به دامنه‌های مشکوک
استفاده از EDR های موبایلی برای پایش فراخوانی‌های Binder بین برنامه‌ها و سرویس‌های سیستمی
استفاده از ابزارهای MDM (Mobile Device Management) در سازمان‌ها برای نظارت بر نسخه سیستم‌عامل دستگاه‌های شرکتی

واکنش به حادثه (Incident Response)

ایزوله‌سازی فوری سامانه آسیب‌دیده
جمع‌آوری لاگ‌های سیستم
شناسایی برنامه مهاجم
حذف برنامه و بازبینی مجوزها
اعمال وصله امنیتی
بررسی سایر دستگاه‌های مشابه در سازمان
بررسی احتمال استخراج اطلاعات
مستندسازی کامل حادثه (زمان وقوع، نشانه‌ها، اقدامات انجام‌شده، درس‌آموخته‌ها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)

جریان حمله (Attack Flow)

در نمودار زیر (شکل ۱)، یک برنامه عادی اندرویدی بدون نیاز به هیچ مجوز ویژه روی دستگاه نصب و اجرا می‌شود. برنامه مهاجم از طریق رابط‌های قابل دسترس در ActivityManagerService متد آسیب‌پذیر dumpBitmapsProto را فراخوانی می‌کند. به دلیل نبود بررسی مجوز مناسب، سرویس سیستمی درخواست را پردازش کرده و اطلاعاتی را که باید صرفاً در اختیار اجزای دارای سطح دسترسی بالاتر قرار گیرد در اختیار برنامه مهاجم قرار می‌دهد.

مهاجم با استخراج اطلاعات حساس از پاسخ دریافتی، می‌تواند به داده‌های خصوصی فرآیندها و وضعیت داخلی سیستم دسترسی پیدا کند. این اطلاعات می‌تواند برای انجام حملات بعدی، دور زدن محدودیت‌های امنیتی، شناسایی وضعیت حافظه برنامه‌ها یا تکمیل زنجیره حمله افزایش سطح دسترسی مورد استفاده قرار گیرد.

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte، این آسیب‌پذیری را در محیط ایزوله و کنترل‌شده با استفاده از نسخه آسیب‌پذیر بررسی و اجرا کرده است

این آزمایشگاه شامل یک دستگاه مجازی (Emulator) با سیستم‌عامل Android 16 QPR2 Beta راه‌اندازی شد
نصب APK از پیش کامپایل شده با نام flashlight-pro-attacker.apk، PoC اجرا شد.
اجرای PoC در محیط آزمایشگاهی، این برنامه بدون منجر به درخواست هیچ مجوزی از کاربر، به طور نامحسوس تصاویر UI برنامه‌های دیگر (مانند Settings که در پس‌زمینه باز است) را استخراج کرده و در خروجی نمایش می‌دهد که نشان‌دهنده سرقت موفقیت‌آمیز اطلاعات بصری کاربر است.
این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمی‌شود

شکل 2: اجرای POC

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع

https://www.cve.org/CVERecord?id=CVE-2026-0047

https://nvd.nist.gov/vuln/detail/CVE-2026-0047

https://cwe.mitre.org/data/definitions/280.html

https://github.com/mobilehackinglab/CVE-2026-0047-poc

https://source.android.com/security/bulletin/2026-03-01

https://www.mobilehackinglab.com/blog/cve-2026-0047-activitymanager-eop-steal-images

Android Framework

CVE-2026-0047 – Missing Permission Check in dumpBitmapsProto Leading to Local Privilege Escalation

Affects

Android Framework (Activity Manager Service component)
Versions:
- Android 16.0
Components:
- Framework component – Activity Manager Service (AMS)
Files:
- ActivityManagerService.java
Functions:
- dumpBitmapsProto()

Description

CVE-2026-0047 is a high-severity local privilege escalation vulnerability in Android’s Activity Manager Service (AMS).

The vulnerability exists in the dumpBitmapsProto function within ActivityManagerService.java. This function is responsible for dumping bitmap information from application processes for debugging and diagnostic purposes.

The issue arises because the function lacks proper permission checks before executing. An application can call this function without holding the necessary permissions that would normally be required to access such sensitive information.

This missing permission check creates a path for malicious apps to bypass Android’s permission model. A local application with no special privileges can invoke the vulnerable function and access bitmap data belonging to other applications or system processes.

Key technical behavior:

The dumpBitmapsProto function does not verify the calling app’s permissions
No Android permission is required to trigger the vulnerability
The function can be called from any context without validation
The accessed bitmap data may contain sensitive information from other apps

Attack Vector

Primary Attack Vector:
Local / Physical (requires a malicious app installed on the device)

Attack Scenario:

An attacker creates a malicious Android application with no special permissions
A victim downloads and installs the malicious app from any source (Google Play Store, third-party store, or sideload)
The malicious app executes on the victim’s device
Without requiring any user interaction, the app calls the vulnerable dumpBitmapsProto function in ActivityManagerService
Due to the missing permission check, the function executes and returns sensitive bitmap data that the app should not have access to
The attacker can extract this data and exfiltrate it from the device

Key Characteristics:

Local attack vector – requires a malicious app to be installed
No additional privileges needed – the attack works from a standard app context
No user interaction required – the app can trigger the vulnerability automatically upon execution
Low attack complexity – the vulnerability is straightforward to exploit
No public exploit available – as of publication, no exploit code has been publicly released

Conditions Affecting Risk:

Any Android device running version 16.0 may be vulnerable
The vulnerability exists regardless of whether the user grants permissions to the malicious app
Devices that have not received the March 2026 Android Security Bulletin updates remain vulnerable

Impact

Successful exploitation allows a malicious local application to:

Access private bitmap information belonging to other applications and system processes
Escalate privileges from an unprivileged app context to access protected data
Bypass Android’s permission model entirely for this specific function
Extract sensitive visual data that may include:
- Screenshot contents from other apps
- UI state information
- Potentially sensitive on-screen data from banking apps, messaging apps, or password managers

The vulnerability results in complete compromise of the targeted information’s confidentiality, integrity, and availability for the affected data type :

Impact Area	Level	Description
Confidentiality	HIGH	Attackers can read private bitmap data from other apps
Integrity	HIGH	Attackers may be able to modify or corrupt accessed data
Availability	HIGH	Access to the function cannot be blocked by affected apps

Secondary Impacts:

Privacy violations through exposure of on-screen content
Potential credential theft if bitmap data includes password fields or authentication screens
Cross-app data leakage without requiring any permissions

Observed Exploitation & Threat Activity

Public Disclosure: March 2, 2026
Patch Availability: Included in Android Security Bulletin – March 2026 (2026-03-01)
Public Exploit Availability: No public exploit has been released
In-the-Wild Exploitation: Not confirmed as of publication
CVSS Score: 8.4 (High)

Disclosure Timeline:

Date	Event
March 1, 2026	Android Security Bulletin published with patch
March 2, 2026	CVE-2026-0047 published in NVD
March 3, 2026	Last metadata update

Affected Products:

Google Android version 16.0
Does NOT affect – Red Hat products, as determined by Red Hat Product Security

Severity & Metrics

CVSS v3.1: High (8.4)
Attack Vector: LOCAL
Attack Complexity: LOW
Privileges Required: NONE
User Interaction: NONE
Scope: UNCHANGED
Confidentiality Impact: HIGH
Integrity Impact: HIGH
Availability Impact: HIGH

CVSS Vector String: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS v2 (for reference): Base Score 7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C)

EPSS Score: 0.00006 (extremely low probability of exploitation in the wild)

Relevant CWE:

CWE-280 – Improper Handling of Insufficient Permissions or Privileges (CISA-ADP classification)
CWE-20 – Improper Input Validation (alternative classification)

Patch & Vendor Status

Official Patch Available: Yes – March 2026 Android Security Bulletin
Fixed Version: Android security patch level 2026-03-01 or later
Patch Source: Android Open Source Project (AOSP)
Reference: https://source.android.com/security/bulletin/2026-03-01

Update Instructions:

Device Type	Action
Google Pixel devices	Check for OTA update in Settings → System → System update
Other Android devices	Check with device manufacturer for March 2026 security update availability
AOSP builds	Merge the March 2026 security bulletin patches

Vendor Status:

Vendor	Status
Google Android	Affected – patch available
Red Hat	Not affected
Other Linux distributions	Not applicable (Android-specific vulnerability)

Mitigation & Remediation

Immediate Actions

Action	Method
Install March 2026 Android security update	Go to Settings → System → System update → Check for update
Enable automatic security updates	Settings → Security → Google Play system updates → Enable automatic updates
Restart device after update	Required for patch to take effect

Short-Term Defensive Measures

If the security patch cannot be applied immediately:

Be cautious when installing apps – Only install apps from trusted sources like Google Play Store with Play Protect enabled
Review app permissions – Although this vulnerability doesn’t require permissions, limiting app installations reduces exposure
Use Google Play Protect – Ensure Play Protect is enabled to scan installed apps for malicious behavior
Keep Google Play system updates current – These provide additional security layers independent of full OS updates

Important Note: There is no workaround for this vulnerability other than applying the security patch. The issue exists in the Android framework code itself and cannot be mitigated through configuration changes.

Long-term Defensive Measures

Enable automatic system updates on all Android devices
Use managed device policies in enterprise environments to enforce security update compliance
Implement application whitelisting for sensitive environments
Regularly audit installed applications and remove unnecessary or suspicious apps
Consider using Android Enterprise with managed Google Play for corporate devices to control app installations

Detection & Monitoring

Recommended Detection Sources:

Source	Purpose
Play Protect logs	Google Play Protect may flag apps attempting to exploit this vulnerability
EDR/MDM solutions	Enterprise mobility management can detect outdated devices
Vulnerability scanners	Can identify devices missing the March 2026 security patch

Indicators of Potential Exploitation:

No specific indicators available – exploitation does not leave logs or system traces
The vulnerability is triggered through normal Android API calls with no unusual patterns
Detection primarily relies on identifying devices that have NOT been patched

Detection Strategy:

Since exploitation cannot be reliably detected through monitoring, focus on identifying vulnerable devices:

Inventory Android devices in your environment
Check security patch level on each device:
- Navigate to Settings → About phone → Android version → Security patch level
- Patch dates before March 1, 2026 indicate vulnerability
Track compliance with security update policies
Use vulnerability management tools to scan for CVE-2026-0047

For Enterprise Environments:

Use Mobile Device Management (MDM) solutions to enforce minimum security patch levels
Block device access to corporate resources if security patch is outdated
Monitor for devices that fail to apply updates within the required timeframe

Post-Incident Response

If exploitation is suspected or a device is confirmed to be vulnerable with evidence of compromise:

Update the affected device immediately to the March 2026 security patch level
Scan for malicious applications using Google Play Protect or a mobile security solution
Review installed applications – Uninstall any suspicious or unrecognized apps
Assume data exposure – The malicious app may have accessed sensitive bitmap information from other apps
Reset credentials – Change passwords for any sensitive accounts accessed on the device, especially:
- Banking apps
- Email accounts
- Corporate resources
- Password manager master passwords
Monitor for unauthorized access – Check for unusual activity in associated accounts
Factory reset if necessary – If malicious software cannot be removed or full compromise is confirmed
Document findings – Record the timeline, installed apps, and any indicators for reporting purposes

For Enterprise Environments:

Isolate affected devices from corporate network access
Force security policy updates through MDM
Consider remote wipe if device cannot be secured

References

بررسی آماری آسیب پذیری CVE-2026-0047 در کشور ایران

محصول آسیب پذیر: سیستم عامل اندروید (نسخه‌های 16 QPR2 Beta 1 تا 3) – مؤلفه ActivityManagerService

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

داده‌های StatCounter در می 2026 نشان می‌دهد که سهم سیستم‌عامل اندروید از بازار موبایل ایران به بیش از 82.96٪ می‌رسد. این آمار حاکی از سلطه مطلق اندروید بر اکوسیستم دستگاه‌های همراه کشور است؛ به گونه‌ای که نسبت دستگاه‌های اندرویدی به سایر سیستم‌عامل‌ها در ایران بیش از ۵ به ۱ بوده و از هر ده گوشی هوشمند، دست کم هشت دستگاه اندروید را اجرا می‌کند.

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش

موتور جستجو	Dork	تعداد
Google	site:.ir “Android 16”	23,900
Google	“Android 16 QPR2” دانلود site:.ir	23
Google	site:.ir “اندروید ۱۶ ” نصب	21,400

وجود نمایندگی در ایران

سیستم‌عامل اندروید توسط شرکت Google توسعه داده می‌شود. این شرکت دفتر رسمی یا نمایندگی در ایران ندارد. کاربران ایرانی برای دریافت به‌روزرسانی‌های امنیتی عمدتاً به سازندگان دستگاه‌های خود (مانند سامسونگ، شیائومی، هواوی، نوکیا و برندهای مونتاژی داخلی) و همچنین برنامه بتای اندروید (Android Beta Program) وابسته هستند.

نسخه‌های بتای اندروید (مانند نسخه‌های آسیب‌پذیر QPR2) به صورت رسمی از طریق وب‌سایت Google و ثبت‌نام در برنامه بتا قابل دریافت هستند که کاربران ایرانی نیز به این سرویس‌ها دسترسی دارند. هیچ گونه پشتیبانی رسمی از طرف شرکت سازنده در کشور وجود ندارد.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

اگرچه آمار رسمی و دقیقی از تعداد سیستم‌های آسیب‌پذیر در ایران وجود ندارد، اما شواهد زیر نشان‌دهنده سطح قابل توجه ریسک است.

استفاده گسترده از اندروید در ایران: طبق داده‌های StatCounter، اندروید با سهم بیش از 82٪ از بازار موبایل ایران، غالب‌ترین سیستم‌عامل همراه در کشور است. این یعنی ده‌ها میلیون دستگاه اندرویدی در ایران فعال هستند که زیرساخت بالقوه‌ای برای این آسیب‌پذیری محسوب می‌شوند.
محبوبیت در بین کاربران فارسی‌زبان: وجود مقالات آموزشی متعدد در وب‌سایت‌های معتبر ایرانی مانند «زومیت»، «دیجیاتو» و کانال‌های تلگرامی و یوتیوبی درباره نحوه ثبت‌نام در برنامه بتای اندروید و نصب نسخه‌های آزمایشی، نشان‌دهنده استقبال گسترده از این نسخه‌ها در جامعه کاربران حرفه‌ای ایرانی است.
حضور برندهای چینی در بازار ایران: با توجه به تحریم‌های بین‌المللی، برندهای چینی مانند شیائومی، هواوی و ریل می سهم قابل توجهی از بازار موبایل ایران را در اختیار دارند. این برندها معمولاً به روزرسانی‌های امنیتی را با تأخیر ارائه می‌دهند و کاربران این دستگاه‌ها ممکن است در معرض خطر بیشتری قرار داشته باشند
تخمین میزان استفاده: دستگاه اندرویدی در ایران به طور بالقوه در معرض این آسیب‌پذیری قرار دارند. این تخمین شامل توسعه‌دهندگان برنامه، تسترهای حرفه‌ای، کاربران علاقه‌مند به فناوری و افرادی است که صرفاً برای دسترسی زودهنگام به قابلیت‌های جدید در برنامه بتا ثبت‌نام کرده‌اند. این موضوع به ویژه با توجه به اینکه این آسیب‌پذیری بدون نیاز به هیچ مجوزی و بدون تعامل کاربر قابل بهره‌برداری است و مهاجم می‌تواند با یک برنامه ساده (مثلاً برنامه چراغ قوه) تمام اسکرین‌شات‌های برنامه‌های در حال اجرا را استخراج کند، بسیار نگران‌کننده است

منابع

https://gs.statcounter.com/os-market-share/mobile/iran

https://nvd.nist.gov/vuln/detail/CVE-2026-0047

https://source.android.com/docs/security/bulletin/2026/2026-03-01

CVE-2026-0047

Local Privilege Escalation in Android ActivityManagerService via Bitmap Access

گزارش اثبات آسیب‌پذیری CVE-2026-0047

محصول / نسخه‌های آسیب‌پذیر

محیط‌های درگیر

کامپوننت‌های آسیب‌پذیر

ریشه مشکل (Root Cause Analysis)

بخش آسیب‌پذیر

رفتار ناامن سیستم:

نحوه سوءاستفاده مهاجم:

نقش این آسیب‌پذیری در زنجیره حمله

پیش‌نیازهای بهره‌برداری (Prerequisites)

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

اقدامات بلندمدت برای کاهش ریسک:

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

منابع پیشنهادی برای مانیتورینگ و پایش:

واکنش به حادثه (Incident Response)

جریان حمله (Attack Flow)

اثبات مفهوم (PoC) — کاملاً غیرمخرب

رفع مسئولیت

منابع

Android Framework

CVE-2026-0047 – Missing Permission Check in dumpBitmapsProto Leading to Local Privilege Escalation

Affects

Description

Attack Vector

Impact

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation

Immediate Actions

Short-Term Defensive Measures

Long-term Defensive Measures

Detection & Monitoring

Post-Incident Response

References

بررسی آماری آسیب پذیری CVE-2026-0047 در کشور ایران

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

وجود نمایندگی در ایران

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

وب‌سایت‌های جعلی Anthropic با حمله ClickFix بدافزار رباینده اطلاعات بدون فایل را به کاربران Claude Code می‌رسانند

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ