CVE-2025-64304CVE-2025-64304是日本Fuji TV的FOD应用中存在的一个安全漏洞。该漏洞源于应用程序在代码中使用了硬编码的加密密钥。硬编码密钥是指开发人员在软件开发过程中直接写入源代码或配置文件的加密密钥,这些密钥在应用程序的整个生命周期中保持不变。由于这些密钥被嵌入在应用的二进制文件或安装包中,攻击者可以通过逆向工程或静态分析获取这些密钥。获取硬编码加密密钥后,攻击者可以解密应用程序的通信数据、访问受保护的敏感信息,或伪造应用签名进行恶意操作。此漏洞需要攻击者具有本地访问权限,但无需认证即可利用,CVSS评分4.0,属于中等严重程度。
该漏洞的核心问题在于FOD应用在数据加密和身份验证过程中使用了预置的硬编码加密密钥。攻击者通过反编译APK文件或提取应用资源,可以发现存储在代码中的密钥材料。这些密钥通常以字符串常量的形式存在于Native库或Java代码中。获取密钥后,攻击者可以:1) 解密应用与服务器之间的加密通信,窃取用户会话信息和个人数据;2) 伪造有效的加密数据,绕过客户端验证机制;3) 构造恶意请求与后端API交互。由于该应用处理的是视频内容订阅服务,涉及用户账户和付费信息,密钥泄露可能导致更严重的数据安全问题。