CRITICAL🇬🇧 English

CVE-2025-59407

Hardcoded hasło do Java Keystore w aplikacji Flock Safety na Android

CVSS 9.8v3.1pub. 2025-10-02upd. 2025-10-24

Aplikacja Flock Safety DetectionProcessing w wersji 6.35.33 dla systemu Android zawiera wbudowany plik Java Keystore (flock_rye.bks) wraz z zakodowanym na stałe hasłem (flockhibiki17) bezpośrednio w kodzie aplikacji. Keystore ten zawiera klucz prywatny, co stanowi krytyczne zagrożenie dla bezpieczeństwa urządzeń, na których aplikacja jest zainstalowana.

Pokaż oryginał (EN)

The Flock Safety DetectionProcessing com.flocksafety.android.objects application 6.35.33 for Android (installed on Falcon and Sparrow License Plate Readers and Bravo Edge AI Compute Devices) bundles a Java Keystore (flock_rye.bks) along with its hardcoded password (flockhibiki17) in its code. The keystore contains a private key.

🤖 Analiza AI
Jak działa

Podatność polega na zakodowaniu na stałe (hardcoded) hasła do pliku Java Keystore bezpośrednio w kodzie aplikacji (CWE-321). Każdy, kto uzyska dostęp do pliku APK aplikacji, może wyodrębnić plik flock_rye.bks oraz odczytać zakodowane hasło flockhibiki17, a następnie użyć ich do otwarcia keystora i pozyskania zawartego w nim klucza prywatnego. Klucz ten jest instalowany na czytnikach tablic rejestracyjnych Falcon i Sparrow oraz urządzeniach obliczeniowych Bravo Edge AI Compute.

Skutki

Atakujący, który pozyska klucz prywatny z keystora, może podszywać się pod urządzenia Flock Safety, przeprowadzać ataki man-in-the-middle, uzyskiwać nieuprawniony dostęp do szyfrowanej komunikacji urządzeń lub potencjalnie wykonywać zdalne polecenia (RCE) na podatnych urządzeniach.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent powinien usunąć hardcoded hasło i plik keystora z kodu aplikacji, wdrożyć bezpieczne mechanizmy zarządzania kluczami oraz wymienić skompromitowany klucz prywatny na nowy.

Kogo dotyczy

Aplikacja Flock Safety DetectionProcessing com.flocksafety.android.objects w wersji 6.35.33 dla systemu Android, zainstalowana na czytnikach tablic rejestracyjnych Falcon i Sparrow oraz urządzeniach Bravo Edge AI Compute.

Uwagi

Podatność została opisana przez badaczy z GainSec w publikacji z dnia 27 września 2025 r. dostępnej pod adresem gainsec.com, gdzie szczegółowo omówiono techniki ataku na urządzenia Flock Safety, w tym możliwość uzyskania zdalnego dostępu (RCE) oraz ujawnienia obrazu z kamer.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Flocksafety Flock Safety

    APP
    Flocksafety
    6.35.33
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-59403CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w aplikacji Flock Safety Collins — RCE i DoS

CVE-2025-59405HIGH7.5ten sam produkt

The Flock Safety Peripheral com.flocksafety.android.peripheral application 7.38.3 for Android (installed on Fa...

CVE-2025-59406MEDIUM6.2ten sam produkt

The Flock Safety Pisco com.flocksafety.android.pisco application 6.21.11 for Android (installed on Falcon and ...

CVE-2025-59409HIGH7.5ten sam vendor

Flock Safety Falcon and Sparrow License Plate Readers OPM1.171019.026 ship with development Wi-Fi credentials ...

CVE-2025-59404HIGH7.5ten sam vendor

Flock Safety Bravo Edge AI Compute Device BRAVO_00.00_local_20241017 ships with its bootloader unlocked. This ...