从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-11026 2. 漏洞描述:FREENOW(前Beat app)12.10.0版本中发现了一个硬编码的密钥库密码,位于SSL.java文件中。 3. 受影响项目:FREENOW(前Beat app) 4. 漏洞类型:硬编码的密钥库密码 5. 漏洞影响: - 平台:Android - 版本:12.10.0 - 安装量:10,000,000+ - 类别:工具 - Android版本代码:2033 - 文件名:FREENOW - Taxi and more_12.10.0.apk - 大小:89.83MB - SHA256:bc9988e5d590f633aef4491ca7a190ab17678d086224c041a4f4f67c46b4a416 6. 漏洞原因: - 漏洞位于SSL.java文件中。 - 密钥库密码硬编码在代码中。 7. 影响: - 攻击者可以提取密钥库中的私钥和证书。 - 攻击者可以使用提取的密钥进行中间人攻击(MITM)。 - 攻击者可以签署恶意内容,使其看起来可信。 - 攻击者可以解密SSL/TLS流量。 8. 证书/密钥文件: - 文件名:assets/ds-amex.pem, assets/ds-cartesbancaires.pem, assets/ds-discover.cer, assets/ds-mastercard.crt, assets/ds-visa.crt 9. 推荐的密钥库管理: - 使用配置文件管理密钥库。 - 创建名为ssl-config.properties的配置文件,包含密钥库密码、类型、协议和安全随机算法。 - 确保配置文件的安全性,限制未经授权的访问。 - 修改应用代码以从配置文件加载配置。 这些信息可以帮助开发者了解漏洞的严重性、影响范围和修复建议。