关键信息 漏洞概述 漏洞类型: TLS Hostname Verification Bypass 影响对象: Xiaomi Galaxy FDS Android SDK CVE标识: CVE-2026-26214 漏洞描述 问题: Xiaomi Galaxy FDS Android SDK在配置HTTPS时禁用了hostname验证,导致在客户端接受错误服务器连接时不会验证证书的域名。 技术细节: - SDK代码中使用了 ,导致hostname验证被禁用。 影响与利用链 攻击步骤: 1. 应用使用SDK进行HTTPS数据传输。 2. 应用连接到FDS HTTPS端点。 3. 攻击者成为网络中间人。 4. 攻击者提供一个针对不同域名的有效TLS证书。 5. 由于hostname验证被禁用,客户端接受连接。 6. 攻击者可以解密并读取HTTPS流量,或在传输中修改请求/响应。 影响与风险 攻击者可能: - 读取通过HTTPS传输的敏感数据。 - 篡改上传/下载数据或服务器响应,导致数据损坏或进一步攻击。 - 削弱开发者预期的HTTPS安全保证。 修复建议 开发者指南: - 移除 。 - 使用严格的默认hostname验证。 - 如果需要不安全的验证器进行测试,应在显式配置标志下,并默认为安全模式,确保不会在生产环境中误启。 验证修复 修复后应确保与hostname不匹配的TLS端点的连接会失败。 参考 涉及代码位置: - -