VU#152953: PayRange Android 앱 ... 노트

VU#152953: PayRange Android 앱 버전 7.0.7에 다수의 취약점이 포함되어 있습니다.

PayRange는 자판기 및 세탁소와 같은 무인 기기에서 사용하도록 설계된 모바일 결제 애플리케이션입니다. 사용자는 스마트폰을 통해 블루투스로 결제할 수 있습니다. PayRange Android 애플리케이션 버전 7.0.7에서 심각한 취약점이 발견되었습니다. 이 취약점은 두 가지 별개의 보안 결함에서 비롯됩니다. 첫 번째 결함(CVE-2026-13462)은 WebView 내에서 애플리케이션의 SSL 인증서 처리와 관련이 있습니다. 구체적으로 PayRange 앱은 잘못된 SSL 인증서를 잘못 수락합니다. 두 번째 취약점(CVE-2026-13461)은 JavaScript 주입을 허용합니다. 이 주입은 WebView 샌드박스를 탈출하여 사용자의 기기에서 악의적인 작업을 수행할 수 있습니다. 공격자는 경로상 가로채기를 통해 이러한 취약점을 악용할 수 있습니다. 사용자 트래픽을 자신의 제어 장치로 리디렉션할 수 있습니다. 특정 규칙과 일치하는 신뢰할 수 있는 인증서를 제시함으로써 TLS 연결을 시작할 수 있습니다. 이를 통해 콘텐츠를 주입하고, 자격 증명을 수집하고, 무단 요청을 실행할 수 있습니다. 기기 운영자의 경우, 이는 전체 운영자 권한으로 PayRange 하드웨어에 명령을 발행하는 것으로 확장될 수 있습니다. 안타깝게도 공급업체에 연락하여 수정 사항을 조율할 수 없었습니다. 사용자에게는 하드웨어 또는 소프트웨어 공급업체에서 제공하는 사용 가능한 모든 소프트웨어 업데이트를 적용하는 것이 좋습니다.