Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Validación incorrecta de certificados en aplicaciones móviles de Dreame Technology

Fecha de publicación 08/08/2025
Identificador
INCIBE-2025-0433
Importancia
4 - Alta
Recursos Afectados
  • Aplicación iOS de Dreamehome: versiones 2.3.4 y anteriores;
  • Aplicación Dreamehome para Android: versiones 2.1.8.8 y anteriores;
  • Aplicación iOS de MOVAhome: versiones 1.2.3 y anteriores.
Descripción

Dennis Giese ha informado sobre una vulnerabilidad de severidad alta que podría permitir una divulgación no autorizada de información.

Solución

No existe solución por el momento.

Detalle

CVE-2025-8393: existe una vulnerabilidad de TLS en la aplicación de teléfono utilizada para administrar un dispositivo conectado. Esta aplicación acepta certificados autofirmados al establecer comunicación TLS, lo que puede provocar ataques de intermediario en redes no confiables. Las comunicaciones capturadas pueden incluir credenciales de usuario y tokens de sesión confidenciales.

CVE
Explotación
No
Nuevo Fabricante
Dreame Technology
Identificador CVE
CVE-2025-8393
Severidad
Alta
Listado de referencias
ICSA-25-219-06 - Dreame Technology iOS and Android Mobile Applications
Etiquetas