关键信息 1. 漏洞概述 CVE编号: CVE-2025-50944 漏洞类型: 不正确的证书链验证 受影响应用: EagleEyes Lite Android Application 版本: 2.0.0 厂商: AVTECH CWE编号: CWE-295: 不正确的证书验证 2. 漏洞描述 EagleEyes Lite (版本2.0.0) 在HTTPS通信期间未能正确验证SSL/TLS服务器证书。应用程序实现了一个自定义的 ,仅检查证书过期而忽略了完整的证书链验证。这使得攻击者可以利用此弱点使用自签名或恶意证书进行中间人攻击,导致敏感监控数据的拦截和篡改。 3. 技术细节 通过自定义 ,应用程序仅验证证书的过期日期,而不验证证书链是否被正确信任。代码示例显示了只检查证书有效期的逻辑: 4. 推荐修复措施 应用程序应替换自定义的 ,使用默认系统实现来验证完整的证书链。 必须强制执行正确的主机名验证以防止接受不匹配或不受信任的证书。 对于遗留Android版本的不安全回退逻辑应移除或更新为等效的安全检查,以确保一致的TLS验证。