关键漏洞信息 漏洞概述 CVE ID: CVE-2025-56608 发布日期: 2025年9月3日 最后更新: 2025年9月3日 发现者: Aninda Saha 漏洞详情 漏洞类型: 使用已损坏或高风险的加密算法 (CWE-327) 受影响文件: anywheresoftware/b4a/http/OkHttpClientWrapper.java 脆弱函数: handleDigest() 使用 MessageDigest.getInstance("MD5") 影响: - MD5 易受碰撞攻击 - 攻击者可以创建生成相同哈希值的输入 - 启用重放攻击、伪造身份验证令牌、暴力破解密码和潜在未经授权的访问 攻击向量 本地 / 反编译 APK 影响产品 产品: Corona Virus Tracker App India 版本: 1.0 供应商: https://www.sourcecodester.com/android/14292/android-corona-virus-tracker-app-india-using-b4a.html 证明概念 (PoC) 静态分析使用 MobSF 揭示了在身份验证代码中使用 MD5: 建议 替换 MD5 为安全的哈希算法,如 SHA-256 或 SHA-3 考虑使用 PBKDF2、bcrypt 或 Argon2 进行密码哈希 确保适当的加盐和密钥拉伸以提高安全性 根据 OWASP MASVS 指南审查整体身份验证机制 时间线 2025年8月: 漏洞被发现 2025年9月2日: 向 MITRE 请求 CVE 2025年9月3日: 分配 CVE ID (CVE-2025-56608) 2025年9月3日: 公开发布咨询