根据研究人员所述：“TLS 连接已加密以防止篡改或窃听。但是，应用程序在初始化 TLS 时未正确验证服务器证书。”

该漏洞的影响非常严重，攻击者可以利用它窃取敏感信息，例如用户凭据、个人数据和商业机密。攻击者还可以篡改数据，导致应用程序行为异常，甚至完全控制设备。由于 TLS 连接广泛应用于各种应用程序和服务，因此该漏洞的潜在影响范围非常广泛。攻击者可以通过中间人攻击（MITM）的方式拦截 TLS 连接，并伪造服务器证书，从而欺骗客户端应用程序。这种攻击方式相对容易实施，且难以检测，因此该漏洞的风险较高。

Applications relying on TLS connections for secure communication are at risk. This includes banking apps, e-commerce platforms, and any application handling sensitive user data. Devices running older, unpatched Android versions are particularly vulnerable, as they may lack the latest security enhancements.

• android / supply-chain:

Get-AppxPackage -AllUsers | Where-Object {$_.InstallLocation -like '*\Android*'} | Select-Object Name, PackageFullName

• android / server: Review application manifest files for network permission declarations. Look for overly permissive network access. • generic web: Monitor network traffic for suspicious TLS certificate validation errors or unexpected server responses.

1. 2024-10-02Disclosure

   disclosure

1. 已保留2024-08-19
2. 发布日期2024-10-02
3. EPSS 更新日期2026-04-02

由于官方尚未发布修复补丁，目前只能采取一些缓解措施来降低风险。首先，建议用户谨慎连接不信任的网络，避免在公共 Wi-Fi 环境中使用敏感应用程序。其次，可以考虑使用 VPN 或其他安全工具来加密网络连接。此外，应用程序开发者应加强服务器证书验证逻辑，确保应用程序能够正确验证服务器证书的有效性。可以考虑使用证书固定（Certificate Pinning）技术，强制应用程序只信任特定的服务器证书，从而防止攻击者伪造证书。最后，密切关注 Android 官方的安全更新，一旦发布修复补丁，应尽快更新系统。