CVE-2025-11717 Firefox Android应用切换密码屏幕信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-11717

漏洞类型

信息泄露/屏幕快照泄露

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Mozilla Firefox (Android)

漏洞概述

CVE-2025-11717是Mozilla Firefox浏览器Android版本中存在的一个高危信息泄露漏洞。该漏洞源于Firefox Android应用的任务卡片预览功能（Card Carousel），当用户在Android系统中通过最近任务列表（Recents/任务切换器）在不同应用之间切换时，Firefox会为其最近打开的标签页生成一个缩略图作为卡片预览。在Firefox 144之前的版本中，如果用户最后访问的页面是密码编辑屏幕（如about:logins中的密码编辑页面），该密码编辑屏幕的内容会被作为卡片图像显示在Android任务切换器中，这意味着任何能够查看手机屏幕的人（包括通过肩窥攻击或在公共场所）都可能看到用户正在编辑的密码信息。该漏洞的CVSS评分为9.1，属于严重级别，攻击向量为网络，无需认证和用户交互即可触发，对机密性和完整性具有高影响。该漏洞由Mozilla安全团队发现，并于2025年10月14日公开披露，已在Firefox 144版本中修复。值得注意的是，虽然该漏洞本身不涉及远程代码执行，但由于其涉及敏感凭据信息泄露，且CVSS评分达到9.1，被评定为严重级别漏洞。

技术细节

该漏洞的技术原理涉及Android系统的任务预览机制（Recents/Overview Screen）与Firefox Android版的标签页快照功能之间的交互问题。在Android系统中，当用户按下最近任务按钮时，系统会为每个最近使用的应用生成一个快照（snapshot）作为卡片预览图像。Firefox Android版为了提供更好的多标签页管理体验，会将其当前显示的页面内容渲染为快照。

在Firefox 144之前的版本中，当用户访问密码编辑页面（如about:logins页面的密码编辑界面）时，该页面包含用户正在输入或查看的明文密码信息。Firefox没有对此类敏感页面进行特殊处理，导致Android系统捕获的快照中包含了密码编辑屏幕的完整内容，包括用户输入的明文密码字段。

漏洞利用方式：
1. 攻击者需要物理接触到受害者的设备，或在受害者展示手机屏幕时进行观察（肩窥攻击）；
2. 受害者在Firefox Android中打开密码管理页面（about:logins）并进入密码编辑状态；
3. 用户通过Android任务切换器（Recent Apps）切换到其他应用；
4. 任务卡片中显示了Firefox的密码编辑屏幕快照，包含敏感密码信息；
5. 攻击者通过观察任务卡片即可获取用户的密码信息。

修复方案：Firefox 144版本中，当检测到当前页面为密码编辑屏幕时，不再渲染该页面的快照内容，而是显示一个黑色屏幕作为占位符，从而防止敏感信息泄露。

攻击链分析

STEP 1

步骤1：环境准备

攻击者确保目标设备安装有Firefox Android版本低于144的浏览器，且用户经常使用Firefox的密码管理功能。

STEP 2

步骤2：诱导用户编辑密码

通过社会工程学或其他方式诱导用户在Firefox Android中打开密码管理页面（about:logins）并进入密码编辑状态。

STEP 3

步骤3：等待用户切换应用

用户在编辑密码后切换到其他应用，触发Android系统生成任务卡片快照。

STEP 4

步骤4：捕获敏感信息

Android系统为Firefox生成的任务卡片中包含密码编辑屏幕的完整快照，攻击者通过物理接触设备或肩窥攻击获取密码信息。

STEP 5

步骤5：利用泄露信息

攻击者利用获取的密码信息登录用户的账户，造成账户被盗、数据泄露等后果。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11717 Proof of Concept
# Vulnerability: Firefox Android Card Carousel Password Screen Information Disclosure
# Affected: Firefox < 144 on Android
# Fixed in: Firefox 144

# Steps to reproduce:
# 1. Install Firefox < 144 on an Android device
# 2. Navigate to about:logins
# 3. Select a saved password entry and tap to edit it
# 4. The password edit screen is now displayed with password fields visible
# 5. Press the Android Recent Apps button (task switcher)
# 6. Observe the Firefox card preview - it shows the password edit screen
#    with sensitive password information visible

# No code-level exploit is needed; this is a UI snapshot leakage vulnerability.
# The vulnerability can be demonstrated by following the steps above on a
# vulnerable Firefox Android version.

# Verification script (conceptual):
import subprocess

def check_vulnerability():
    """
    Check if the installed Firefox version is vulnerable to CVE-2025-11717
    """
    # Get Firefox version from Android device
    result = subprocess.run(
        ['adb', 'shell', 'dumpsys', 'package', 'org.mozilla.firefox', '|', 'grep', 'versionName'],
        capture_output=True, text=True
    )
    version = result.stdout.strip()
    
    if version and int(version.split('.')[0]) < 144:
        print(f"[VULNERABLE] Firefox {version} is affected by CVE-2025-11717")
        print("The password edit screen may be leaked in Android task switcher")
    else:
        print(f"[SAFE] Firefox {version} is not affected (fixed in Firefox 144)")

if __name__ == "__main__":
    check_vulnerability()

影响范围

Mozilla Firefox Android < 144

防御指南

临时缓解措施

在无法立即升级Firefox 144的情况下，建议用户：1）避免在公共场所或可能被他人观察的环境中使用Firefox Android的密码编辑功能；2）编辑完密码后立即关闭Firefox应用或清除最近任务列表；3）使用设备级的应用锁功能为Firefox添加额外的安全保护层；4）关注Mozilla官方安全公告，及时升级到修复版本以彻底解决该漏洞。