CVE-2025-48651 是 Android StrongBox 组件中的一个高危漏洞,该漏洞可能导致未经授权的访问或操作。该漏洞的影响可能包括敏感信息泄露或攻击者获得更高的权限。受影响的版本包括 Android SoC,安全补丁级别低于或等于 2026-04-05。该漏洞已于 2026-04-05 修复。
Android 的 CVE-2025-48651 漏洞影响 KMKeymasterApplet.java 组件,特别是 'importWrappedKey' 函数。已发现输入验证存在缺陷,允许对应该受限制的密钥进行未经授权的访问。这可能导致本地信息泄露,攻击者可能获得对以加密密钥存储的敏感数据访问权限。令人担忧的是,利用此漏洞不需要额外的权限或用户交互,从而增加了攻击成功的风险。此漏洞的严重性在于其易于利用以及可能对存储数据安全造成的潜在损害。
该漏洞通过 KMKeymasterApplet.java 中的 'importWrappedKey' 函数进行利用。攻击者可能操纵此函数的输入以绕过安全验证并访问受保护的密钥。由于不需要用户交互或提升的权限,因此利用可能被自动化并且可能具有隐蔽性。利用的上下文可能涉及访问设备内存或操纵系统进程以影响易受攻击函数的行为。已知修复程序的缺失意味着未经修补的 Android 设备容易受到此类攻击,直到实施了修复程序。
漏洞利用状态
EPSS
0.01% (0% 百分位)
目前,尚未发布 CVE-2025-48651 的官方修复程序(fix)。我们强烈建议 Android 用户使用设备制造商提供的最新安全补丁程序更新其设备。一旦可用,这些更新很可能包含此漏洞的修复程序。此外,应用程序开发人员应安全地使用 Android API 并实施自己的输入验证措施,以降低被利用的风险。监控 Android 官方安全资源和设备制造商安全公告对于及时了解更新和建议至关重要。
Aplique la última actualización de seguridad de Android proporcionada por Google. Esta actualización aborda la vulnerabilidad de divulgación de información corrigiendo la validación de entrada en la función importWrappedKey del KMKeymasterApplet.
漏洞分析和关键警报直接发送到您的邮箱。
该漏洞可能允许访问保护密码、身份验证信息、财务数据和其他个人信息等敏感数据的加密密钥。
该漏洞影响尚未收到最新安全更新的 Android 设备。请检查您设备的 Android 版本,并查找可用的更新。
如果您怀疑您的设备已被入侵,请更改您的密码,在备份数据后执行恢复出厂设置,并联系网络安全专业人员。
目前,没有专门用于检测 CVE-2025-48651 的工具。Android 安全更新是最佳防御。
尚未确定修复程序的发布日期。请监控 Android 官方安全资源以获取更新。
上传你的 build.gradle 文件,立即知道是否受影响。