CVE-2026-5471 CVSS 3.3 低危

CVE-2026-5471 Investory Toy Planet Trouble硬编码密钥漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5471

漏洞类型

硬编码加密密钥

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Investory Toy Planet Trouble App (Android)

漏洞概述

Investory Toy Planet Trouble App（安卓版）1.5.5及之前版本存在硬编码加密密钥漏洞。攻击者需本地访问设备，通过读取特定配置文件中的密钥，可能导致敏感信息泄露。该漏洞CVSS评分为3.3，属于低危风险。

技术细节

该漏洞存在于Investory Toy Planet Trouble App（安卓版）的组件`app.investory.toyfactory`中，具体涉及位于`assets/google-services-desktop.json`的配置文件。该文件错误地包含了硬编码的加密密钥参数`current_key`。由于密钥被静态存储在应用资源中，任何拥有本地设备访问权限（AV:L）的低权限用户（PR:L）均可通过反编译APK包或直接访问应用安装目录来提取该密钥。虽然利用不需要用户交互（UI:N）且仅影响机密性（C:L），但攻击者一旦获取此密钥，即可利用其进行Firebase匿名认证，进而非法访问后端数据库或服务，导致用户数据泄露。此漏洞属于典型的硬编码敏感信息问题，反映了应用在密钥管理方面的安全疏忽。

攻击链分析

STEP 1

步骤1

攻击者获取对安卓设备的物理访问权限或低权限shell访问权限。

STEP 2

步骤2

攻击者定位并反编译目标应用APK，或直接访问应用私有数据目录下的assets文件夹。

STEP 3

步骤3

攻击者打开`google-services-desktop.json`文件，读取其中的`current_key`字段。

STEP 4

步骤4

攻击者利用提取的API密钥连接Firebase后端，进行匿名认证并窃取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept (PoC) for CVE-2026-5471
# This script demonstrates how to extract the hardcoded key
# from the vulnerable application's assets.

import json
import os

# Simulating the path to the extracted APK assets directory
VULNERABLE_FILE_PATH = "assets/google-services-desktop.json"

def check_vulnerability(file_path):
    """
    Checks if the target file contains a hardcoded current_key.
    """
    if not os.path.exists(file_path):
        print(f"[!] File not found: {file_path}")
        return

    try:
        with open(file_path, 'r') as f:
            data = json.load(f)
            
        if 'current_key' in data:
            print(f"[+] Vulnerability Detected!")
            print(f"[+] Hardcoded key found: {data['current_key']}")
            print("[+] An attacker can use this key for unauthorized access.")
        else:
            print("[-] Vulnerability not found or key already rotated.")
            
    except json.JSONDecodeError:
        print(f"[!] Error parsing JSON file.")

if __name__ == "__main__":
    # Create a dummy file for demonstration
    os.makedirs("assets", exist_ok=True)
    dummy_data = {"project_info": {}, "client": [], "current_key": "AIzaSyDummyHardcodedKeyForDemo123"}
    with open(VULNERABLE_FILE_PATH, 'w') as f:
        json.dump(dummy_data, f)
    
    print(f"--- Analyzing CVE-2026-5471 ---")
    check_vulnerability(VULNERABLE_FILE_PATH)
    
    # Cleanup
    os.remove(VULNERABLE_FILE_PATH)
    os.rmdir("assets")

影响范围

Investory Toy Planet Trouble App <= 1.5.5

防御指南

临时缓解措施

限制对安卓设备的物理访问权限，对应用进行代码混淆以增加逆向难度，并在后端Firebase控制台中监控异常的API调用活动。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表