CVE-2024-21668

Versões do react-native-mmkv anteriores à 2.11.0

A biblioteca react-native-mmkv registrava a chave de criptografia opcional do banco de dados MMKV no log do sistema Android antes da versão 2.11.0. Isso permitia que qualquer pessoa com acesso à Android Debugging Bridge (ADB) obtivesse a chave, caso a ADB estivesse habilitada nas configurações do telefone. O problema não está presente em dispositivos iOS. Ao registrar o segredo de criptografia, invasores poderiam recuperar o segredo e comprometer o modelo de threads de um aplicativo. A criptografia de um banco de dados MMKV protege os dados contra processos com privilégios mais elevados no telefone e também criptografa os dados em possíveis backups.

Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o uso da chave de criptografia ou restringir o acesso à Android Debugging Bridge (ADB) até que a atualização seja aplicada.