CVE-2024-32876 in NewPipe App
Zusammenfassung
von VulDB • 27.06.2026
NewPipe ist eine Android-App für Video-Streaming, die in Java geschrieben wurde. Sie unterstützt das Exportieren und Importieren von Backups, um Nutzern zu ermöglichen, ihre Daten mühelos auf ein neues Gerät zu übertragen. In den Versionen 0.13.4 bis 0.26.1 konnte der Import einer Backup-Datei aus einer nicht vertrauenswürdigen Quelle jedoch zu Arbitrary Code Execution (beliebiger Code-Ausführung) führen. Dies liegt daran, dass Backups mit dem Java Object Serialization Stream Protocol serialisiert und deserialisiert werden, was es ermöglicht, jede Klasse in der App zu konstruieren, sofern dies nicht ordnungsgemäß eingeschränkt wird.
Um diese Schwachstelle auszunutzen, müsste ein Angreifer eine Backup-Datei erstellen, die den Exploit enthält, und einen Nutzer dazu überreden, sie zu importieren. Während des Importvorgangs würde der bösartige Code ausgeführt werden, was möglicherweise zum Absturz der App führen könnte, Nutzdaten aus der NewPipe-App stehlen, schädliche Aktionen über Android-APIs durchführen oder versuchen würde, die Android-JVM-/Sandbox-Einschränkungen durch Schwachstellen im Android-Betriebssystem zu umgehen.
Der Angriff kann nur stattfinden, wenn ein Nutzer eine bösartige Backup-Datei importiert; daher müsste ein Angreifer einen Nutzer dazu bringen, eine Backup-Datei aus einer Quelle zu importieren, die er kontrollieren kann. Die Implementierungsdetails der schädlichen Backup-Datei können unabhängig vom angegriffenen Benutzer oder dem Gerät sein, auf dem sie ausgeführt wird, und erfordern keine zusätzlichen Berechtigungen.
Alle NewPipe-Versionen von 0.13.4 bis 0.26.1 sind anfällig für diese Schwachstelle. Die Version 0.27.0 behebt das Problem durch folgende Maßnahmen: Einschränkung der Klassen, die beim Aufruf des Java Object Serialization Stream Protocol deserialisiert werden dürfen, indem eine Whitelist mit nur unschädlichen datenbasierten Klassen hinzugefügt wird, die keine Arbitrary Code Execution ermöglichen; Abwertung von Backups, die mit dem Java Object Serialization Stream Protocol serialisiert wurden; Verwendung der JSON-Serialisierung für alle neu erstellten Backups (aber weiterhin Einschluss einer alternativen Datei, die mit dem Java Object Serialization Stream Protocol serialisiert wurde, im Backup-Zip zur Aufrechterhaltung der Abwärtskompatibilität); Anzeige einer Warnung an den Nutzer beim Versuch, ein Backup zu importieren, bei dem das einzige verfügbare Serialisierungsmodus das Java Object Serialization Stream Protocol ist (Hinweis: Dieser Serialisierungsmodus wird in Zukunft vollständig entfernt).
If you want to get best quality of vulnerability data, you may have to visit VulDB.