关键信息 漏洞描述 CVE编号: CVE-2025-61482 漏洞类型: privacyIDEA Authenticator OTP Seed Disclosure 影响: 本地权限提升 → OTP种子泄露 → 生成有效OTP → 潜在的2FA绕过 攻击前提条件 攻击者需要在目标设备上具有root或等效的本地代码执行权限。 影响版本 privacyIDEA Authenticator 4.3.0(在Android 11上测试) 分析时没有可用的修复版本。 缓解措施 将受损或被攻陷的设备视为不可信。 强制执行设备完整性检查(如MCM或Play Integrity API)。 使用硬件支持的、不可导出的密钥或外部令牌来存储OTP种子,以防止明文暴露。 CWE分类 CWE-922: 敏感信息的不安全存储 CWE-522: 不充分保护的凭证 CWE-200: 敏感信息对未授权行为者的暴露 证明概念(PoC) 安装Frida或其他等效的hooking工具,用于执行等效的hooking。 启动或附加到privacyIDEA Authenticator进程(if.netresec.privacyauthenticator)。 注入一个hook脚本(或等效的、未显示的hook),该脚本hook了crypto函数并捕获明文缓冲区,当应用程序访问解密的存储种子时。 结果 PoC在注册后恢复种子,并在应用程序关闭后显示持久存储的秘密可检索。此攻击不需要应用程序主动解码QR码或在注册UI中输入种子。 CVSS评分 建议的CVSS v3.1向量(基础): AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:N = 6.8 建议的CVSS v4.0向量(基础,近似): AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:N = 6.6 攻击向量(AV) 本地(L)——攻击者必须在设备上运行代码。 攻击复杂度(AC) 高(H)——成功的利用需要妥协的设备+运行时instrumentation知识。 所需权限(PR) 高(H)——攻击者需要高权限root,以将Frida注入到典型Android配置中的进程。 用户交互(UI) 无(N)——一旦设备被攻陷,不再需要进一步的用户交互。 范围(S) 改变(C)——秘密的机密性损失可能导致外部账户和服务的接管(影响跨越组件边界)。 机密性(C) 高(H)——完全披露OTP/TOTP/HOTP种子。 完整性(I) 高(H)——攻击者可以生成有效的OTPs(逻辑完整性2FA被破坏)。 可用性(A) 无(N)——该漏洞不会直接影响可用性。 发现者 Oliver Bölin和Philippe Van Daële 参考文献 DIVA研究论文(概念和分析概要): https://www.diva-portal.org/smash/get/diva2:13A/B864dOKGwv77/pdf DIVA研究论文PDF: https://www.diva-portal.org/smash/get/diva2:13B9d9O7/-JULLEX101.pdf 研究文章/摘要: https://svarthatt.se/cve/cve-2025-61482-pulling-otp-secrets-from-privacyidea-authenticator/