CVE-2026-5453 Rico App 硬编码密钥漏洞

漏洞信息

漏洞编号

CVE-2026-5453

漏洞类型

硬编码密钥

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Rico só vantagem pra investir App (Android)

漏洞概述

Rico só vantagem pra investir App Android版4.58.32.12421及之前版本存在安全漏洞。该漏洞源于组件br.com.rico.mobile在处理文件SegmentSettingsModule.java中的SEGMENT_WRITE_KEY参数时使用了硬编码的加密密钥。攻击者需在本地环境下利用此漏洞，可能导致敏感信息泄露。目前厂商尚未回应修复请求。

技术细节

该漏洞属于典型的硬编码密钥问题，其根源在于开发人员在代码中直接嵌入了敏感凭证。在Android生态系统中，APK文件很容易被反编译回接近原始的Java代码或Smali代码。具体到本案，受影响的Rico应用在br/com/rico/mobile/di/SegmentSettingsModule.java文件中直接定义了SEGMENT_WRITE_KEY常量。攻击者首先需要获取APK安装包（本地环境要求AV:L）。随后，利用标准的逆向工程工具（如JADX、apktool或dex2jar）对应用进行静态分析。攻击者无需复杂的交互（UI:N）或高权限（PR:L即可，通常指拥有设备访问权），只需搜索特定的类名或字符串“SEGMENT_WRITE_KEY”，即可提取出硬编码的密钥。虽然该漏洞不直接影响系统完整性（I:N）或可用性（A:N），但机密性的丧失（C:L）是严重的。泄露的密钥可能被用于解密应用本地数据库中的用户交易记录、个人信息，或者绕过某些客户端的安全校验机制。鉴于厂商未响应，该风险将持续存在。

攻击链分析

STEP 1

1. 获取应用安装包

攻击者通过本地设备或第三方下载渠道获取受影响版本的Rico App APK文件。

STEP 2

2. 反编译代码

使用JADX、Apktool等工具将APK文件反编译，获取可读的Java源代码或Smali代码。

STEP 3

3. 定位漏洞文件

根据漏洞披露信息，定位到br/com/rico/mobile/di/SegmentSettingsModule.java文件。

STEP 4

4. 提取硬编码密钥

在源代码中搜索SEGMENT_WRITE_KEY变量，读取其赋值的字符串，从而获取硬编码的加密密钥。

STEP 5

5. 利用密钥

使用获取到的密钥解密本地敏感数据或伪造服务端请求，导致用户信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-5453: Hardcoded Cryptographic Key Extraction
This script simulates the extraction of the SEGMENT_WRITE_KEY from the decompiled source.
"""

import re

# Simulated content of the vulnerable file: br/com/rico/mobile/di/SegmentSettingsModule.java
VULNERABLE_FILE_CONTENT = """
package br.com.rico.mobile.di;

public class SegmentSettingsModule {
    // VULNERABILITY: Hardcoded key exposed in source code
    private static final String SEGMENT_WRITE_KEY = "HARDCODED_SECRET_KEY_12345";
    
    public String getSegmentKey() {
        return SEGMENT_WRITE_KEY;
    }
}
"""

def extract_key(source_code):
    """Extracts the SEGMENT_WRITE_KEY using regex."""
    # Pattern to match the variable assignment
    pattern = r'SEGMENT_WRITE_KEY\s*=\s*"([^"]+)"'
    match = re.search(pattern, source_code)
    
    if match:
        return match.group(1)
    return None

def main():
    print("[*] Attempting to extract hardcoded key from SegmentSettingsModule.java...")
    key = extract_key(VULNERABLE_FILE_CONTENT)
    
    if key:
        print(f"[+] Success! Extracted Key: {key}")
        print("[!] Impact: Attacker can now use this key to decrypt local data or inject analytics.")
    else:
        print("[-] Key not found.")

if __name__ == "__main__":
    main()

影响范围

Rico só vantagem pra investir App <= 4.58.32.12421

防御指南

临时缓解措施

建议用户暂时不要在Root过的设备上使用该应用，并限制应用的本地存储权限。开发者应尽快发布更新，将硬编码密钥迁移至安全的后端服务或使用Android Keystore进行管理，并重新编译发布应用。