一、 漏洞 CVE-2026-22694 基础信息

                                        # AliasVault Android 密钥验证漏洞

## 概述
AliasVault Android 应用在 0.24.0 至 0.25.2 版本中存在 Passkey 请求验证不充分的漏洞，可能导致恶意应用在特定条件下获取未授权网站的 Passkey 响应。

## 影响版本
- AliasVault Android: 0.24.0 至 0.25.2

## 细节
该漏洞源于 Android 凭据提供程序在处理 Passkey 请求时，未完整验证调用应用的身份、来源（origin）和依赖方标识符（RP ID），致使恶意应用可能伪造请求以获取本不应访问的 Passkey 数据。

## 影响
在本地条件下，恶意应用可能利用此漏洞尝试获取其未获授权网站的 Passkey 响应，导致用户凭证泄露风险。
                                        

二、漏洞 CVE-2026-22694 的公开POC

三、漏洞 CVE-2026-22694 的情报信息

• 标题： Improve android passkey provider origin handling by lanedirt · Pull Request #1441 · aliasvault/aliasvault · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          以下是关于漏洞的关键信息：
  
  - ** PR Title (拉取请求标题):**:  Improving Android passkey provider origin handling #1441
  
  - ** Merged PR (拉取请求已合并)**:  This pull request has been successfully merged into the `main` branch.
  
  - ** Issue Fixing**:  Fixes Issue #1440 ([BUG] Improving Android passkey vendor original handling).
  
  - ** Description (描述)**:  Briefly describes that the patch is for a bug fix.
  
  - ** Code Changes**:  A total of 2 commits were made:
  
    1. Add original confirmation for Android Passkey Authentication flow.
  
    2. Add additional loading messages during Passkey confirmation.
  
  - ** Check Status (检查状态)**:  20 checks were performed involving 6 modified files. Most checks passed with the exception of some checks.
  
  - ** Labels (标签)**:  `bug` indicates this PR is related to a bug fix.
  
  - ** Participants (参与者)**:  Only one participant was involved in this PR `lanedirt`, who made the commits, linked issues and merged the PR.
                                          

  

• 标题： [BUG] Improve Android passkey provider origin handling · Issue #1440 · aliasvault/aliasvault -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          从网页截图中可以获取到以下关于漏洞的关键信息：
  
  - **漏洞标题**: [BUG] Improve Android passkey provider origin handling #1440
  
  - **状态**: Closed
  
  - **描述**: 提升Android passkey提供者来源处理，以符合[官方开发指南](https://developer.android.com/identity/sign-in/credential-provider#handle-passkey-credential)
  
  - **标签**: bug
  
  - **提交记录**:
      - 添加来源验证到Android Passkey认证流程
      - 添加额外的加载消息反馈到passkey验证过程中
      - 合并分支'main'到1404-update-datatype-be-based-prod-ap...
  
  - **参与人员**: lanedirt
  
  - **关联的Pull Request**: #1441 (将会关闭此Issue)
  
  总结: 该漏洞已经修复，主要涉及提升Android passkey提供者来源处理，以符合官方开发指南。
                                          

  

• 标题： Release 0.25.3 · aliasvault/aliasvault · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          - **CVE-2026-22694**: An Android-specific passkey validation issue was fixed in version 0.25.3, disclosed on 2026-01-14. Android users are advised to update to version 0.25.3 or later.
  
  - **Security Update**: This release includes important security fixes for Android users.
  
  - **Impact**: Only Android users are affected. iOS, browser extensions, and server components are not impacted.
                                          

  

• 标题： Missing Origin Validation in Android Passkey Credential Provider · Advisory · aliasvault/aliasvault · GitHub -- 🔗来源链接

  标签：x_refsource_CONFIRM

  神龙速读：

                                          ### 关键信息总结
  
  - **漏洞描述**
    - **影响范围**: 具体影响的软件包为`net.aliasvault.app (Android)`, 版本0.24.0至0.25.2受到影响。
  
  - **问题核心**
    - **安全问题**: Android Passkey Credential Provider中存在Origin Validation缺失的问题。这允许恶意应用在特定条件下可能试图获取到未被授权访问的网站的passkey响应。
  
  - **安全修复**
    - **修复版本**: 问题在Android 0.25.3版本中得到了修复，此版本添加了严格的Origin和RP验证机制，通过Digital Asset Links验证原生Android应用身份，以及拒绝未经授权的请求。
  
  - **漏洞影响**
    - **评分**: 该漏洞被评估为中等严重程度，CVSS v3评分6.1/10。其关键因素包括攻击向量为本地，攻击复杂度低，不需要特权，需要用户交互，影响范围不改变，对机密性和完整性的低影响，对可用性没有影响。
  
  - **CVSS详细信息**
    - **弱点编号**: CWE-346
  
  - **其他资料**
    - 参考链接和问题跟踪号可进一步了解详细情况。
                                          

  

• 标题： Add additional loading message feedback during passkey verification (… · aliasvault/aliasvault@b335047 · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          ### 关键信息
  
  #### 1. **提交信息**
  - **提交者**: lanedirt
  - **提交时间**: 3 周前
  - **提交ID**: b335047
  - **提交摘要**: Add additional loading message feedback during passkey verification (#1440)
  
  #### 2. **涉及文件**
  - **4 个文件被修改**
    - `OriginVerifier.kt`
    - `PasskeyAuthenticationActivity.kt`
    - `PasskeyRegistrationRecordActivity.kt`
    - `strings.xml`
  
  #### 3. **主要改动**
  - **更新了错误信息**: 
    - 从 "Cannot verify app authorization: $rpId does not provide asset links" 修改为 "App is not authorized to access passkeys for $rpId"
  - **增加了加载消息更新逻辑**:
    - `PasskeyAuthenticationActivity.kt` 和 `PasskeyRegistrationRecordActivity.kt` 中新增了 `updateLoadingMessage` 函数，用于更新界面的加载消息。
  - **加载消息字符串**:
    - `strings.xml` 中新增了几个加载消息字符串：
      - `passkey_retrieving`: "Retrieving passkey..."
      - `passkey_verifying`: "Verifying..."
      - `passkey_authenticating`: "Authenticating..."
  - **数据库连接检查**:
    - 修改了在 `PasskeyAuthenticationActivity.kt` 中获取数据库连接的逻辑，如果数据库不可用，会记录错误日志。
  
  ### 漏洞相关
  - **权限验证**: 修改后的错误信息更明确地指出了应用无权访问指定 `$rpId` 的密钥，这可能涉及权限控制和访问验证的改进，以防止未授权应用访问敏感信息。
  - **UI反馈优化**: 加载消息的更新和明确的加载状态提示，可以提高用户体验，避免用户在长时间无反馈情况下猜测系统状态。
  - **数据库连接检查**: 数据库连接检查逻辑的完善，可以避免在数据库不可用时继续执行后续操作，减少潜在的数据访问错误。
  
  #### **潜在的改进方向**
  - **进一步细化错误处理**: 可以考虑在 `updateLoadingMessage` 函数中增加更多的异常处理逻辑，确保在界面更新失败时能提供更详细的错误信息。
  - **增强权限控制**: 确保权限验证逻辑的完整性，防止绕过或错误配置导致的权限漏洞。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2026-22694

四、漏洞 CVE-2026-22694 的评论