CRITICAL🇬🇧 English

CVE-2026-26214

Brak weryfikacji hostname TLS w Galaxy FDS Android SDK (XiaoMi) – atak MITM

CVSS 9.1v4.0pub. 2026-02-12upd. 2026-04-15

Galaxy FDS Android SDK w wersji 3.0.8 i wcześniejszych wyłącza weryfikację nazwy hosta TLS, akceptując dowolny ważny certyfikat niezależnie od niezgodności hostname. Oznacza to, że wszystkie aplikacje korzystające z SDK z domyślną konfiguracją są podatne na przechwycenie i modyfikację ruchu sieciowego przez atakującego w pozycji man-in-the-middle.

Pokaż oryginał (EN)

Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) version 3.0.8 and prior disable TLS hostname verification when HTTPS is enabled (the default configuration). In GalaxyFDSClientImpl.createHttpClient(), the SDK configures Apache HttpClient with SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, which accepts any valid TLS certificate regardless of hostname mismatch. Because HTTPS is enabled by default in FDSClientConfiguration, all applications using the SDK with default settings are affected. This vulnerability allows a man-in-the-middle attacker to intercept and modify SDK communications to Xiaomi FDS cloud storage endpoints, potentially exposing authentication credentials, file contents, and API responses. The XiaoMi/galaxy-fds-sdk-android open source project has reached end-of-life status.

🤖 Analiza AI
Jak działa

W metodzie GalaxyFDSClientImpl.createHttpClient() SDK konfiguruje Apache HttpClient z parametrem SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, co powoduje akceptację każdego ważnego certyfikatu TLS bez sprawdzania, czy odpowiada on docelowej nazwie hosta. Ponieważ HTTPS jest domyślnie włączony w klasie FDSClientConfiguration, każda aplikacja używająca domyślnych ustawień jest dotknięta tym problemem. Atakujący zdolny do zajęcia pozycji pośrednika w sieci (man-in-the-middle) może podstawić własny certyfikat i w pełni kontrolować komunikację między aplikacją a usługami Xiaomi FDS.

Skutki

Atakujący może przechwycić i zmodyfikować komunikację SDK z punktami końcowymi Xiaomi FDS, uzyskując dostęp do danych uwierzytelniających, zawartości przesyłanych plików oraz odpowiedzi API. Możliwa jest kradzież wrażliwych danych użytkownika oraz manipulacja przesyłanymi treściami.

Mitygacja

Projekt XiaoMi/galaxy-fds-sdk-android osiągnął status end-of-life i nie są wydawane dla niego patche. Należy zaprzestać korzystania z tej biblioteki i zastąpić ją aktywnie utrzymywaną alternatywą. Jako obejście doraźne — w istniejącym kodzie należy zastąpić SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER właściwą weryfikacją hostname lub wdrożyć własny SSLSocketFactory z poprawną walidacją certyfikatów.

Kogo dotyczy

Galaxy FDS Android SDK (XiaoMi/galaxy-fds-sdk-android) w wersji 3.0.8 i wcześniejszych; wszystkie aplikacje korzystające z SDK z domyślną konfiguracją HTTPS

Uwagi

Projekt XiaoMi/galaxy-fds-sdk-android ma status end-of-life — producent nie planuje wydania poprawki. Podatność dotyczy domyślnej konfiguracji SDK, co poszerza zakres narażonych aplikacji. Podatność ujawniona przez badacza XavLimSG zgodnie z referencjami.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje