Plateforme
android
Composant
halo-home-android-app
Corrigé dans
1.11.1
La vulnérabilité CVE-2019-5625 affecte l'application Android Halo Home, versions antérieures à 1.11.0. Elle permet à un attaquant d'accéder aux informations personnelles d'un utilisateur en récupérant des tokens OAuth stockés en clair. L'impact principal est l'usurpation d'identité et la modification des données personnelles stockées dans le service cloud associé. La mise à jour vers la version 1.11.0 corrige cette faille.
Cette vulnérabilité permet à un attaquant ayant un accès physique à l'appareil Android ou ayant compromis l'appareil avec une application malveillante de récupérer les tokens OAuth et refresh tokens. Ces tokens permettent à l'attaquant de se faire passer pour l'utilisateur légitime et d'accéder à son compte Halo Home. L'attaquant peut alors visualiser et modifier les informations personnelles de l'utilisateur, telles que les paramètres du système de sécurité domestique, les notifications et potentiellement d'autres données sensibles stockées dans le cloud. Le risque est aggravé par le fait que ces tokens persistent jusqu'au déconnexion de l’utilisateur et au redémarrage de l’appareil, offrant une fenêtre d’opportunité prolongée pour l’attaquant.
Cette vulnérabilité a été rendue publique le 22 mai 2019. Il n'y a pas d'indication d'exploitation active à grande échelle. Bien qu'il n'y ait pas de preuves d'exploitation, la nature de la vulnérabilité (stockage en clair) la rend potentiellement exploitable dans des scénarios d'accès physique à l'appareil ou de compromission via des applications malveillantes. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
Users of the Halo Home Android application who have not upgraded to version 1.11.0 or later are at risk. This includes individuals who rely on the app to manage their smart home devices and those who may be less vigilant about device security practices, such as using strong passwords and enabling device lock.
• android / app:
# Check for the existence of the cleartext token file (example path - may vary)
adb shell 'ls /sdcard/HaloHome/tokens.txt'• android / app:
# Check app permissions for storage access
adb shell 'pm dump HaloHome | findstr "storage"'• android / app:
# Check for suspicious processes with elevated privileges
adb shell 'ps -A | grep HaloHome'disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour l'application Halo Home vers la version 1.11.0 ou ultérieure, qui corrige la vulnérabilité de stockage en clair. En attendant la mise à jour, il est recommandé de renforcer la sécurité de l'appareil Android en utilisant un mot de passe fort, en activant l'authentification à deux facteurs (si disponible) et en évitant d'installer des applications provenant de sources non fiables. Il n'existe pas de contournement de configuration ou de règles WAF applicables à cette vulnérabilité, car elle réside dans la manière dont l'application gère les tokens. Après la mise à jour, vérifiez que les tokens OAuth ne sont plus stockés en clair en examinant le stockage de l'application avec un outil de débogage Android.
Mettez à jour l'application Halo Home à la version 1.11.0 ou ultérieure depuis le magasin d'applications Android. Cette version corrige le stockage insecure des tokens OAuth. En tant que mesure supplémentaire, envisagez de vous déconnecter de l'application et de redémarrer l'appareil pour supprimer tout token stocké précédemment.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-5625 is a vulnerability in the Halo Home Android app where OAuth tokens are stored in a cleartext file, potentially allowing unauthorized access to user accounts.
You are affected if you are using a version of the Halo Home Android app prior to 1.11.0. Upgrade to the latest version to resolve the issue.
Upgrade the Halo Home Android app to version 1.11.0 or later. As a temporary measure, log out and reboot your device.
There are no known active campaigns exploiting CVE-2019-5625, but the vulnerability remains a risk if the app is not updated.
Refer to the Halo Home security advisory published on May 22, 2019, for details on the vulnerability and the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier build.gradle et nous te dirons instantanément si tu es affecté.