关键漏洞信息 CVE编号: CVE-2025-63434 漏洞名称: Download of Code Without Integrity Check in Xtool AnyScan Android App 漏洞类型: Download of Code Without Integrity Check 严重性: - 攻击类型: Remote - 代码执行影响: True (直接导致任意代码执行) - 信息泄露影响: True (RCE可访问所有应用/设备数据) 攻击向量: 1. 受控下载: 应用被引导从攻击者控制的服务器下载恶意更新包。 2. 未验证提取: 应用下载并提取包含恶意共享对象文件的包。 3. 代码执行: 应用在未检查密码签名或完整性的情况下,将恶意库放置在私有数据目录中,并在之后加载,直接导致攻击者的代码执行。 受影响组件: - , - (可能是负责加载库的环境组件) 受影响产品: - 厂商: Xtooltech - 产品: Xtool AnyScan Android Application - 受影响版本: 所有版本至4.40.40(含) 影响: 缺乏代码签名检查使恶意代码被应用信任并执行,无论其来源,代表应用更新安全模型的完全失败。实施正确的签名验证将独立缓解此漏洞,阻止整个RCE链。 参考链接: - 主要参考 发现者: Chase Abel, Jake Van Dyke