प्लेटफ़ॉर्म
android
घटक
kmkeymasterapplet
में ठीक किया गया
unknown
Android के StrongBox घटक में एक भेद्यता पाई गई है, जिसे उच्च जोखिम वाला माना गया है। इस भेद्यता का नाम A-434039170, A-467765081, A-467765894, और A-467762899 है। यह भेद्यता Android SoC के 0.0.0 संस्करणों को प्रभावित करती है, और इससे सिस्टम की सुरक्षा से समझौता हो सकता है। सौभाग्य से, इस समस्या को 2026-04-05 के सुरक्षा पैच में ठीक कर दिया गया है।
एंड्रॉइड में CVE-2025-48651 भेद्यता KMKeymasterApplet.java घटक, विशेष रूप से 'importWrappedKey' फ़ंक्शन को प्रभावित करती है। इनपुट सत्यापन में एक दोष पाया गया है, जो प्रतिबंधित किया जाना चाहिए, उन कुंजियों तक अनधिकृत पहुंच की अनुमति देता है। इससे स्थानीय जानकारी का खुलासा हो सकता है, जहां एक हमलावर एन्क्रिप्टेड कुंजियों के रूप में संग्रहीत संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है। चिंताजनक पहलू यह है कि इस भेद्यता का शोषण करने के लिए अतिरिक्त विशेषाधिकार या उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं होती है, जिससे सफल हमले का जोखिम बढ़ जाता है। इस भेद्यता की गंभीरता इसकी आसानी से शोषण और संग्रहीत डेटा की सुरक्षा से समझौता करके संभावित क्षति में निहित है।
भेद्यता KMKeymasterApplet.java में 'importWrappedKey' फ़ंक्शन के माध्यम से शोषण की जाती है। एक हमलावर इस फ़ंक्शन के इनपुट में हेरफेर करके सुरक्षा सत्यापन को बायपास कर सकता है और संरक्षित कुंजियों तक पहुंच सकता है। चूंकि उपयोगकर्ता इंटरैक्शन या उन्नत विशेषाधिकार की आवश्यकता नहीं है, इसलिए शोषण को स्वचालित किया जा सकता है और संभावित रूप से चुपचाप किया जा सकता है। शोषण के संदर्भ में संभवतः डिवाइस मेमोरी तक पहुंच या कमजोर फ़ंक्शन के व्यवहार को प्रभावित करने के लिए सिस्टम प्रक्रियाओं में हेरफेर शामिल होगा। ज्ञात फिक्स की कमी का मतलब है कि बिना पैच वाले एंड्रॉइड डिवाइस तब तक इस प्रकार के हमले के प्रति संवेदनशील होते हैं जब तक कि एक सुधार लागू नहीं किया जाता है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (0% शतमक)
वर्तमान में, CVE-2025-48651 के लिए कोई आधिकारिक फिक्स जारी नहीं किया गया है। हम एंड्रॉइड उपयोगकर्ताओं को अपने डिवाइस निर्माताओं द्वारा प्रदान किए गए नवीनतम सुरक्षा पैच के साथ अपने उपकरणों को अपडेट रखने की दृढ़ता से सलाह देते हैं। ये अपडेट, एक बार उपलब्ध होने पर, इस भेद्यता के लिए एक पैच शामिल करेंगे। इसके अतिरिक्त, एप्लिकेशन डेवलपर्स को एंड्रॉइड एपीआई का सुरक्षित रूप से उपयोग करना चाहिए और शोषण के जोखिम को कम करने के लिए अपने स्वयं के इनपुट सत्यापन उपायों को लागू करना चाहिए। एंड्रॉइड सुरक्षा स्रोतों और डिवाइस निर्माताओं सुरक्षा बुलेटिन की निगरानी करना अपडेट और सिफारिशों के बारे में सूचित रहने के लिए महत्वपूर्ण है।
Aplique la última actualización de seguridad de Android proporcionada por Google. Esta actualización aborda la vulnerabilidad de divulgación de información corrigiendo la validación de entrada en la función importWrappedKey del KMKeymasterApplet.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
भेद्यता पासवर्ड, प्रमाणीकरण जानकारी, वित्तीय डेटा और अन्य व्यक्तिगत जानकारी जैसे संवेदनशील डेटा की सुरक्षा करने वाली एन्क्रिप्टेड कुंजियों तक पहुंच की अनुमति दे सकती है।
भेद्यता उन एंड्रॉइड उपकरणों को प्रभावित करती है जिन्होंने नवीनतम सुरक्षा अपडेट प्राप्त नहीं किए हैं। अपने डिवाइस के एंड्रॉइड संस्करण की जांच करें और उपलब्ध अपडेट की तलाश करें।
यदि आपको संदेह है कि आपके डिवाइस से समझौता किया गया है, तो अपने पासवर्ड बदलें, अपने डेटा का बैकअप लेने के बाद फ़ैक्टरी रीसेट करें और सूचना सुरक्षा पेशेवर से संपर्क करें।
वर्तमान में, CVE-2025-48651 का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। एंड्रॉइड सुरक्षा अपडेट सबसे अच्छा बचाव है।
फिक्स के लिए कोई पुष्टि रिलीज की तारीख नहीं है। अपडेट के लिए एंड्रॉइड के आधिकारिक सुरक्षा स्रोतों की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी build.gradle फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।