关键漏洞信息 漏洞ID CVE-2025-25758 发布状态 Published 描述 在KukuFM Android v1.12.7 (11207)中存在一个漏洞,由于在AndroidManifest.xml文件中声明了android:allowBackup="true"。此配置允许具有设备物理访问权限的攻击者通过Android Debug Bridge (ADB)备份功能提取敏感的明文信息。利用此漏洞不需要root设备,可能会导致内部应用程序数据(如共享偏好设置、配置文件和包含明文数据的本地数据库)的披露。 影响 未经授权访问敏感应用程序数据 用户凭证或身份验证令牌的暴露 违反用户隐私和数据保护标准 个人信息或应用程序特定信息的潜在滥用 应用程序安全态势的妥协 攻击场景 攻击者获得对Android设备的物理访问 启用USB调试 通过ADB将设备连接到计算机 执行adb backup -f com.vlv.aravali.ab com.vlv.aravali 从KukuFM应用中提取备份数据,包括:shared_prefs/、databases/和其他内部配置文件 技术细节 漏洞类型:不正确的访问控制 CWE分类:CWE-732(关键资源的不正确权限分配) 攻击类型:本地 受影响版本:1.12.7 (11207) 受影响组件:AndroidManifest.xml(android:allowBackup="true") 影响:信息披露 受影响产品:KukuFM Android应用 修复建议 将android:allowBackup设为"false"以防止未经授权的ADB备份 加密存储在shared_prefs和数据库中的敏感数据 使用Android密钥库安全存储身份验证令牌和凭据 定期审核AndroidManifest配置以检测不安全的标志 应用最佳实践以确保本地数据存储和访问控制的安全