Aplikacja Flock Safety DetectionProcessing w wersji 6.35.33 dla systemu Android zawiera wbudowany plik Java Keystore (flock_rye.bks) wraz z zakodowanym na stałe hasłem (flockhibiki17) bezpośrednio w kodzie aplikacji. Keystore ten zawiera klucz prywatny, co stanowi krytyczne zagrożenie dla bezpieczeństwa urządzeń, na których aplikacja jest zainstalowana.
▸ Pokaż oryginał (EN)
The Flock Safety DetectionProcessing com.flocksafety.android.objects application 6.35.33 for Android (installed on Falcon and Sparrow License Plate Readers and Bravo Edge AI Compute Devices) bundles a Java Keystore (flock_rye.bks) along with its hardcoded password (flockhibiki17) in its code. The keystore contains a private key.
Podatność polega na zakodowaniu na stałe (hardcoded) hasła do pliku Java Keystore bezpośrednio w kodzie aplikacji (CWE-321). Każdy, kto uzyska dostęp do pliku APK aplikacji, może wyodrębnić plik flock_rye.bks oraz odczytać zakodowane hasło flockhibiki17, a następnie użyć ich do otwarcia keystora i pozyskania zawartego w nim klucza prywatnego. Klucz ten jest instalowany na czytnikach tablic rejestracyjnych Falcon i Sparrow oraz urządzeniach obliczeniowych Bravo Edge AI Compute.
Atakujący, który pozyska klucz prywatny z keystora, może podszywać się pod urządzenia Flock Safety, przeprowadzać ataki man-in-the-middle, uzyskiwać nieuprawniony dostęp do szyfrowanej komunikacji urządzeń lub potencjalnie wykonywać zdalne polecenia (RCE) na podatnych urządzeniach.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent powinien usunąć hardcoded hasło i plik keystora z kodu aplikacji, wdrożyć bezpieczne mechanizmy zarządzania kluczami oraz wymienić skompromitowany klucz prywatny na nowy.
Aplikacja Flock Safety DetectionProcessing com.flocksafety.android.objects w wersji 6.35.33 dla systemu Android, zainstalowana na czytnikach tablic rejestracyjnych Falcon i Sparrow oraz urządzeniach Bravo Edge AI Compute.
Podatność została opisana przez badaczy z GainSec w publikacji z dnia 27 września 2025 r. dostępnej pod adresem gainsec.com, gdzie szczegółowo omówiono techniki ataku na urządzenia Flock Safety, w tym możliwość uzyskania zdalnego dostępu (RCE) oraz ujawnienia obrazu z kamer.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFlocksafety Flock Safety
APPFlocksafety6.35.33
Powiązane podatności
Brak uwierzytelnienia w aplikacji Flock Safety Collins — RCE i DoS
The Flock Safety Peripheral com.flocksafety.android.peripheral application 7.38.3 for Android (installed on Fa...
The Flock Safety Pisco com.flocksafety.android.pisco application 6.21.11 for Android (installed on Falcon and ...
Flock Safety Falcon and Sparrow License Plate Readers OPM1.171019.026 ship with development Wi-Fi credentials ...
Flock Safety Bravo Edge AI Compute Device BRAVO_00.00_local_20241017 ships with its bootloader unlocked. This ...