Plataforma
android
Componente
halo-home-android-app
Corrigido em
1.11.1
O aplicativo Halo Home para Android, em versões anteriores a 1.11.0, apresenta uma vulnerabilidade crítica devido ao armazenamento inseguro de tokens de autenticação OAuth e refresh access tokens. Esses tokens são armazenados em um arquivo de texto simples no dispositivo, persistindo até que o usuário faça logout e reinicie o aparelho. Essa falha permite que um atacante, obtendo acesso físico ao dispositivo ou comprometendo-o com um aplicativo malicioso, possa se passar pelo usuário legítimo e acessar informações pessoais armazenadas na nuvem.
A principal consequência dessa vulnerabilidade é a possibilidade de um atacante obter acesso não autorizado à conta do usuário no serviço Halo Home. Ao recuperar o token OAuth armazenado em texto simples, o atacante pode se autenticar como o usuário legítimo, visualizando e modificando suas informações pessoais, configurações e dados associados ao sistema de segurança residencial Halo Home. O impacto é agravado pela persistência do token até a reinicialização do dispositivo, prolongando o período de vulnerabilidade. A exploração bem-sucedida pode levar à violação da privacidade do usuário e ao comprometimento da segurança do seu lar, permitindo o controle remoto de dispositivos conectados.
Esta vulnerabilidade foi divulgada publicamente em 22 de maio de 2019. Não há evidências de exploração ativa em campanhas direcionadas, mas a facilidade de exploração, combinada com o acesso físico necessário, torna a vulnerabilidade um risco potencial. A ausência de um EPSS score indica uma avaliação inicial de baixa probabilidade de exploração em larga escala, mas a vulnerabilidade permanece significativa devido ao impacto potencial em usuários individuais.
Users of the Halo Home Android application who have not upgraded to version 1.11.0 or later are at risk. This includes individuals who rely on the app to manage their smart home devices and those who may be less vigilant about device security practices, such as using strong passwords and enabling device lock.
• android / app:
# Check for the existence of the cleartext token file (example path - may vary)
adb shell 'ls /sdcard/HaloHome/tokens.txt'• android / app:
# Check app permissions for storage access
adb shell 'pm dump HaloHome | findstr "storage"'• android / app:
# Check for suspicious processes with elevated privileges
adb shell 'ps -A | grep HaloHome'disclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 1.11.0 ou superior do aplicativo Halo Home. Essa versão corrige o armazenamento inseguro dos tokens OAuth. Como medida temporária, os usuários podem tentar limpar o cache e os dados do aplicativo Halo Home nas configurações do Android, embora isso possa exigir que o usuário faça login novamente. É crucial que os usuários evitem instalar aplicativos de fontes desconhecidas ou não confiáveis, pois isso pode aumentar o risco de comprometimento do dispositivo. Após a atualização, verifique se os tokens OAuth não estão mais armazenados em texto simples através de ferramentas de análise de arquivos no dispositivo.
Atualize o aplicativo Halo Home para a versão 1.11.0 ou posterior a partir da loja de aplicativos do Android. Esta versão corrige o armazenamento inseguro de tokens OAuth. Como medida adicional, considere fazer logout do aplicativo e reiniciar o dispositivo para remover quaisquer tokens armazenados anteriormente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-5625 is a vulnerability in the Halo Home Android app where OAuth tokens are stored in a cleartext file, potentially allowing unauthorized access to user accounts.
You are affected if you are using a version of the Halo Home Android app prior to 1.11.0. Upgrade to the latest version to resolve the issue.
Upgrade the Halo Home Android app to version 1.11.0 or later. As a temporary measure, log out and reboot your device.
There are no known active campaigns exploiting CVE-2019-5625, but the vulnerability remains a risk if the app is not updated.
Refer to the Halo Home security advisory published on May 22, 2019, for details on the vulnerability and the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo build.gradle e descubra na hora se você está afetado.