CRITICAL🇬🇧 English

CVE-2025-55619

Reolink: zakodowany na stałe klucz szyfrowania umożliwia odczyt tokenów

CVSS 9.8v3.1pub. 2025-08-22upd. 2025-08-28

Aplikacja Reolink w wersji v4.54.0.4.20250526 zawiera zakodowany na stałe klucz szyfrowania AES oraz wektor inicjalizacyjny (IV). Podatność umożliwia atakującemu odszyfrowanie tokenów dostępu i tokenów sesji webowej przechowywanych w aplikacji.

Pokaż oryginał (EN)

Reolink v4.54.0.4.20250526 was discovered to contain a hardcoded encryption key and initialization vector. An attacker can leverage this vulnerability to decrypt access tokens and web session tokens stored inside the app via reverse engineering.

🤖 Analiza AI
Jak działa

Aplikacja mobilna Reolink używa statycznego klucza szyfrowania (hardcoded key) oraz stałego wektora inicjalizacyjnego do szyfrowania wrażliwych danych, takich jak tokeny dostępu i tokeny sesji. Atakujący może przeprowadzić inżynierię odwrotną (reverse engineering) aplikacji, wydobyć zakodowane na stałe wartości klucza i IV, a następnie użyć ich do odszyfrowania danych przechowywanych wewnątrz aplikacji. Stosowanie stałego klucza i IV całkowicie eliminuje ochronę kryptograficzną, ponieważ każda instancja aplikacji używa identycznych parametrów szyfrowania.

Skutki

Atakujący, który uzyska dostęp do danych aplikacji (np. poprzez złośliwe oprogramowanie, fizyczny dostęp do urządzenia lub backup), może odszyfrować tokeny dostępu i tokeny sesji, co może prowadzić do przejęcia konta użytkownika oraz nieuprawnionego dostępu do kamer i urządzeń Reolink.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent powinien zastąpić hardcoded klucz i IV mechanizmem dynamicznego generowania kluczy szyfrowania, np. z wykorzystaniem Android Keystore lub EncryptedSharedPreferences zgodnie z rekomendacjami Android Security API.

Kogo dotyczy

Aplikacja mobilna Reolink w wersji v4.54.0.4.20250526

Uwagi

Referencje wskazują na podobną wcześniejszą podatność CVE-2020-25173 dotyczącą Reolink, co sugeruje powtarzający się problem z zarządzaniem kluczami kryptograficznymi w produktach tego producenta. Szczegóły techniczne zostały opublikowane przez badacza w serwisie Notion.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Reolink

    APP
    Reolink
    4.54.0.4.20250526
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-56799MEDIUM6.5ten sam produkt

Reolink desktop application 8.18.12 contains a command injection vulnerability in its scheduled cache-clearing...

CVE-2025-56800MEDIUM5.1ten sam produkt

Reolink desktop application 8.18.12 contains a vulnerability in its local authentication mechanism. The applic...

CVE-2025-56801MEDIUM5.1ten sam produkt

The Reolink Desktop Application 8.18.12 contains hardcoded credentials as the Initialization Vector (IV) in it...

CVE-2025-56802MEDIUM5.1ten sam produkt

The Reolink desktop application uses a hard-coded and predictable AES encryption key to encrypt user configura...

CVE-2025-55624MEDIUM5.3ten sam produkt

An intent redirection vulnerability in Reolink v4.54.0.4.20250526 allows unauthorized attackers to access inte...