Galaxy FDS Android SDK w wersji 3.0.8 i wcześniejszych wyłącza weryfikację nazwy hosta TLS, akceptując dowolny ważny certyfikat niezależnie od niezgodności hostname. Oznacza to, że wszystkie aplikacje korzystające z SDK z domyślną konfiguracją są podatne na przechwycenie i modyfikację ruchu sieciowego przez atakującego w pozycji man-in-the-middle.
▸ Pokaż oryginał (EN)
Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) version 3.0.8 and prior disable TLS hostname verification when HTTPS is enabled (the default configuration). In GalaxyFDSClientImpl.createHttpClient(), the SDK configures Apache HttpClient with SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, which accepts any valid TLS certificate regardless of hostname mismatch. Because HTTPS is enabled by default in FDSClientConfiguration, all applications using the SDK with default settings are affected. This vulnerability allows a man-in-the-middle attacker to intercept and modify SDK communications to Xiaomi FDS cloud storage endpoints, potentially exposing authentication credentials, file contents, and API responses. The XiaoMi/galaxy-fds-sdk-android open source project has reached end-of-life status.
W metodzie GalaxyFDSClientImpl.createHttpClient() SDK konfiguruje Apache HttpClient z parametrem SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, co powoduje akceptację każdego ważnego certyfikatu TLS bez sprawdzania, czy odpowiada on docelowej nazwie hosta. Ponieważ HTTPS jest domyślnie włączony w klasie FDSClientConfiguration, każda aplikacja używająca domyślnych ustawień jest dotknięta tym problemem. Atakujący zdolny do zajęcia pozycji pośrednika w sieci (man-in-the-middle) może podstawić własny certyfikat i w pełni kontrolować komunikację między aplikacją a usługami Xiaomi FDS.
Atakujący może przechwycić i zmodyfikować komunikację SDK z punktami końcowymi Xiaomi FDS, uzyskując dostęp do danych uwierzytelniających, zawartości przesyłanych plików oraz odpowiedzi API. Możliwa jest kradzież wrażliwych danych użytkownika oraz manipulacja przesyłanymi treściami.
Projekt XiaoMi/galaxy-fds-sdk-android osiągnął status end-of-life i nie są wydawane dla niego patche. Należy zaprzestać korzystania z tej biblioteki i zastąpić ją aktywnie utrzymywaną alternatywą. Jako obejście doraźne — w istniejącym kodzie należy zastąpić SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER właściwą weryfikacją hostname lub wdrożyć własny SSLSocketFactory z poprawną walidacją certyfikatów.
Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) w wersji 3.0.8 i wcześniejszych; wszystkie aplikacje korzystające z SDK z domyślną konfiguracją HTTPS
Projekt XiaoMi/galaxy-fds-sdk-android ma status end-of-life — producent nie planuje wydania poprawki. Podatność dotyczy domyślnej konfiguracji SDK, co poszerza zakres narażonych aplikacji. Podatność ujawniona przez badacza XavLimSG zgodnie z referencjami.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X