关键信息 1. 漏洞概述 CVE编号: CVE-2025-46408 漏洞类型: 不正确的主机名验证 受影响应用: EagleEyes Lite Android 应用程序 版本: 2.0.0 厂商: AVTECH CWE编号: CWE-297: 不正确的证书与主机名匹配验证 CVSS评分: 未提供 向量字符串: 未提供 2. 漏洞总结 EagleEyes Lite (版本 2.0.0) 在 HTTPS 通信中禁用了主机名验证,通过使用 。这导致应用程序接受任何 TLS 证书,无论其通用名称 (CN) 或主题备用名称 (SAN) 值如何,允许攻击者冒充合法服务器并进行中间人 (MITM) 攻击。 3. 漏洞细节 当设备运行在 Android 8.0 以下版本时, 被设置为 ,导致 方法不会返回预期结果,而是执行易受攻击的逻辑。具体代码如下: 使用 禁用了正确的主机名验证,即使服务器证书的 CN 或 SAN 不匹配请求的主机名,TLS 连接也会成功。 4. 概念验证 (PoC) 通过运行 Frida 钩子脚本 ,强制将 设置为 ,以模拟较低版本的 Android。这允许我们监控 方法是否被调用,并确认该方法在执行期间被成功调用。 5. 推荐措施 应用程序应避免使用 ,并对所有 HTTPS 连接强制执行严格的主机名验证。 使用 或等效的严格验证器来验证服务器的 CN 或 SAN 是否与请求的主机名匹配。 移除或替换任何遗留的回退逻辑,确保对较旧的 Android 版本进行一致的 TLS 验证。