प्रमाणीकरण प्रवाह अपहरण के लिए प्रमाणीकरणकर्ता असुरक्षित

Gematik Authenticator ऐप में एक गंभीर भेद्यता (CVE-2026-33875) की पहचान की गई है। 4.16.0 से पहले के संस्करण प्रमाणीकरण प्रवाह को हाईजैक करने के लिए असुरक्षित हैं। इसका मतलब है कि एक हमलावर उपयोगकर्ता को दुर्भावनापूर्ण डीप लिंक पर क्लिक करने के लिए बरगला सकता है, जिससे वे वैध उपयोगकर्ता के रूप में प्रमाणित हो सकते हैं। इससे हमलावर को संवेदनशील स्वास्थ्य जानकारी तक पहुंचने या उपयोगकर्ता की सहमति के बिना उपयोगकर्ता की ओर से कार्रवाई करने का जोखिम हो सकता है। CVSS स्कोर 9.3 है, जो एक गंभीर जोखिम दर्शाता है। यह भेद्यता सीधे उपयोगकर्ता के स्वास्थ्य डेटा की सुरक्षा और गोपनीयता को प्रभावित करती है।

Users of Gematik Authenticator who rely on it for secure access to digital health applications are at risk. This includes patients, healthcare providers, and administrative staff. Individuals who frequently click on links from unknown or untrusted sources are particularly vulnerable.

• android / supply-chain:

Get-InstalledPackage -Name "Gematik Authenticator"

• android / supply-chain:

adb shell dumpsys package com.gematik.authenticator | grep versionName

• android / supply-chain: Check app permissions for suspicious deep link handling capabilities.

1. 2026-03-27Disclosure

   disclosure

1. आरक्षित2026-03-24
2. प्रकाशित2026-03-27
3. संशोधित2026-04-03
4. EPSS अद्यतन2026-04-04

अनुशंसित समाधान Gematik Authenticator ऐप को 4.16.0 या उच्चतर संस्करण में तुरंत अपडेट करना है। इस अपडेट में प्रमाणीकरण प्रवाह को हाईजैक करने की भेद्यता को कम करने के लिए एक पैच शामिल है। इस भेद्यता के लिए कोई ज्ञात वर्कअराउंड नहीं है। अपने डेटा और खातों की सुरक्षा के लिए ऐप के सभी उपयोगकर्ताओं को जल्द से जल्द अपडेट करने की दृढ़ता से सलाह दी जाती है। स्थापना के बाद सत्यापित करें कि एप्लिकेशन सफलतापूर्वक अपडेट किया गया है। यदि आपको अपडेट प्रक्रिया के बारे में कोई संदेह है, तो Gematik के आधिकारिक दस्तावेज़ देखें या अपने डिजिटल स्वास्थ्य सेवा प्रदाता से संपर्क करें।