Android‑приложение **Pisco** (com.flocksafety.android.pisco) версии 6.21.11 содержит открытый (cleartext) клиентский секрет Auth0 в исходно…
Android‑приложение **Pisco** (com.flocksafety.android.pisco) версии 6.21.11 содержит открытый (cleartext) клиентский секрет Auth0 в исходном коде. При дешифровке APK любой может извлечь этот OAuth‑секрет, который должен оставаться конфиденциальным. Наличие секретов в клиентском коде позволяет злоумышленнику получить токены доступа без специальных привилегий.\n\nИсточники:\n- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf\n- [2] https://www.flocksafety.com/products\n- [3] https://www.flocksafety.com/products/license-plate-readers\n- [4] https://gainsec.com/2025/09/27/fly-by-device-2-the-falcon-sparrow-gated-wireless-rce-camera-feed-dos-information-disclosure-and-more/
Продукт передаёт конфиденциальные или критически важные для безопасности данные в открытом виде по каналу связи, доступному для прослушивания неавторизованными субъектами.
https://cwe.mitre.org/data/definitions/319.html →Открыть в коллекции CWE →Злоумышленник пассивно перехватывает сетевые коммуникации и захватывает код приложения, предназначенный для авторизованного клиента. Получив его, злоумышленник может использовать его в исходном виде или путём обратной разработки извлечь конфиденциальную информацию либо воспользоваться отношениями доверия между клиентом и сервером. Такой код может относиться к динамическому обновлению клиента, устанавливаемому патчу или любому другому взаимодействию, при котором клиент авторизован для связи с сервером.
https://capec.mitre.org/data/definitions/65.html →Открыть в коллекции CAPEC →Перехват сессии использует незашифрованный канал связи между жертвой и целевой системой. Злоумышленник прослушивает трафик в сети в поисках токенов сессии в незашифрованном трафике. После захвата токена сессии злоумышленник выполняет вредоносные действия, используя похищенный токен в целевом приложении для имперсонации жертвы. Данная атака является разновидностью угона сессии — эксплуатации действующего токена сессии для получения несанкционированного доступа к целевой системе или информации. Другие методы угона сессии включают фиксацию сессии, межсайтовый скриптинг или компрометацию машины пользователя или сервера с последующей кражей токена сессии.
https://capec.mitre.org/data/definitions/102.html →Открыть в коллекции CAPEC →Злоумышленник отслеживает потоки данных, направляемых в целевую систему или из неё, с целью сбора информации. Данная атака может проводиться исключительно для получения конфиденциальных сведений или для поддержки дальнейших атак против цели. Шаблон атаки может включать как прослушивание сетевого трафика, так и перехват других типов потоков данных (например, радиосигналов). Злоумышленник может предпринимать попытки инициировать установление потока данных или пассивно наблюдать за процессом обмена данными по мере его развития. При всех разновидностях данной атаки злоумышленник не является предполагаемым получателем потока данных. В отличие от других методов сбора информации (например, нацеленных на утечки данных), злоумышленник должен активно занять позицию для наблюдения за явными каналами передачи данных (например, сетевым трафиком) и читать их содержимое. Однако данная атака отличается от атаки «злоумышленник посередине» (CAPEC-94) тем, что злоумышленник не изменяет содержимое коммуникаций и не пересылает данные предполагаемому получателю.
https://capec.mitre.org/data/definitions/117.html →Открыть в коллекции CAPEC →Злоумышленник регистрирует событие в рамках приложения, после чего отслеживает данные, передаваемые в ходе этого события, с целью сбора важной информации, утечка которой произошла в процессе транзакций. Одним из примеров может служить сбор списков имён пользователей или идентификаторов пользователей для последующей рассылки спама. Один из примеров данного типа атаки: злоумышленник создаёт событие внутри дочернего приложения. Допустим, злоумышленник организует «виртуальную распродажу» редких предметов. По мере того как другие пользователи присоединяются к событию, злоумышленник посредством AiTM-прокси (CAPEC-94) записывает идентификаторы пользователей и имена всех присутствующих. После этого злоумышленник получает возможность рассылать спам этим пользователям внутри приложения с использованием автоматизированного скрипта.
https://capec.mitre.org/data/definitions/383.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует сложность структуры данных, допускающей как подписанное, так и неподписанное содержимое, с целью обработки неподписанных данных как подписанных.
https://capec.mitre.org/data/definitions/477.html →Открыть в коллекции CAPEC →