Hotdry.
归档
ai-systems

Flock Camera安全漏洞深度分析:从硬编码密码到供应链风险的架构级修复方案

深入分析Flock Camera全国监控网络的技术架构漏洞,包括硬编码密码、物理访问风险、Android EOL系统,提出可落地的安全加固参数与监控清单。

引言:从车牌识别到全国监控网络

Flock Safety 公司在美国部署了超过 80,000 台自动车牌识别(ALPR)摄像头,这些设备被宣传为 "车牌阅读器",但实际上构成了一个全国性的监控网络。技术分析揭示,这些摄像头本质上是运行 Android 8.1(Oreo)操作系统的移动计算设备,而非简单的摄像头。这一架构设计带来了严重的安全隐患,使得整个网络面临系统性风险。

技术架构漏洞深度分析

1. 硬编码密码:"flockhibiki17" 的骨架密钥

在 Flock Camera 的固件分析中,研究人员发现了灾难性的安全工程失误。技术分析显示,com.flocksafety.android.objects应用程序(版本 6.35.33)包含一个 Java Keystore 文件flock_rye.bks,其解锁密码flockhibiki17以明文形式硬编码在SecurityConstants.java文件中。

技术细节:

public static final String DEVICE_STAGING_PASS = "flockhibiki17";

这个硬编码密码充当了 "骨架密钥",允许任何获取此密码的参与者:

  • 解密存储的敏感数据
  • 在网络上冒充合法 Flock 设备
  • 向中央 FlockOS 数据库注入虚假数据

在情报背景下,这种能力允许伪造证据 —— 将目标车辆放置在从未到过的犯罪现场,或删除真实证据以掩盖操作痕迹。

2. 物理访问风险:30 秒获取 root 权限

物理安全同样脆弱。研究人员证明,攻击者物理接触摄像头(通常安装在公共电线杆上)后,可以在 30 秒内获得完全 root 访问权限。这是通过设备背面的特定按钮序列实现的,触发设备广播 Wi-Fi 接入点。

一旦连接到此接入点,Android 调试桥(ADB)默认启用,无需身份验证即可授予攻击者 root shell。从这一特权位置,攻击者可以:

  • 安装持久性恶意软件
  • 修改操作系统
  • 使用设备作为攻击云基础设施的跳板

设备暴露的 USB 端口进一步简化了物理攻击,允许使用自动化脚本(如通过 USB Rubber Ducky)在连接时立即破坏设备。

3. 过时的 Android 系统:EOL 的安全噩梦

Falcon 摄像头运行的是 Android 8.1(Oreo),该系统已于数年前达到生命周期终点(EOL),不再接收 Google 的安全补丁。这使得设备永久易受已知内核漏洞和特权升级攻击的影响,而这些漏洞在较新的 Android 版本中已被公开披露和修补。

关键风险参数:

  • Android 版本:8.1(Oreo)
  • EOL 状态:2019 年 3 月终止支持
  • 已知未修补 CVE 数量:超过 200 个
  • 内核版本:4.4.x(同样已 EOL)

4. 多因素认证缺失:执法凭证在暗网交易

在用户层面,安全文化同样松懈。报告显示,执法机构用于访问 FlockOS 数据库的 Web 界面不要求多因素认证(MFA)。在 MFA 已成为消费者电子邮件账户标准要求的时代,在存储数百万公民敏感位置数据的系统中缺乏 MFA 是严重的疏忽。

网络安全公司已识别出至少 35 个 Flock 客户账户(执法凭证)在暗网上交易,这些凭证可能通过信息窃取恶意软件或网络钓鱼活动获取。缺乏 MFA 使得这些被盗凭证提供对监控网络的无限访问。

供应链与数据完整性风险

1. 中国供应链:深圳制造的监控设备

尽管 Flock Safety 最近营销其 "美国制造" 的无人机设施,但对其硬件供应链的法医检查显示,该公司严重依赖中国电子制造生态系统。FCC ID 2A4SK-HSP01H2Z20(与 Flock 生态系统中使用的 "WiFi 户外 PTZ IP 摄像头" 相关)注册给深圳市智利安防科技有限公司。

根据中国的《国家情报法》(2017 年),所有中国组织和公民都有法律义务 "支持、协助和配合国家情报工作"。这意味着 Flock 摄像头硬件的制造商在法律上有义务应国家安全部(MSS)的要求插入后门、窃取数据或破坏硬件。

2. 数据统计造假:奥克兰的 "幻影统计" 丑闻

2024 年,Flock Safety 和奥克兰警察局(OPD)发布联合新闻稿,声称部署 Flock 摄像头导致暴力犯罪清除率提高 11%。这一统计数据被技术支持者广泛引用,以证明进一步支出的合理性。

然而,随后的审计和 OPD 的承认显示,这些数据存在严重缺陷。该部门承认统计数据受到 "人为错误"、"异常" 和犯罪数据大规模重复计算的影响。具体来说,OPD 因记录管理系统(RMS)变更,在前几年少报犯罪,在当前年份多报犯罪,创造了现实中不存在的清除率 "幻影" 改善。

在某些类别中,严重攻击在提交给加州司法部的错误数据集中被多报了138%。这种 "垃圾进,垃圾出" 的动态使系统的战略价值受到质疑。

可落地的安全加固方案

1. 固件安全加固清单

立即执行项(24 小时内):

  1. 强制固件更新,移除所有硬编码密码
  2. 禁用所有设备的 ADB 调试接口
  3. 实施设备级加密,使用每设备唯一密钥
  4. 关闭未使用的 USB 端口功能

短期加固(7 天内):

  1. 部署基于证书的设备身份验证
  2. 实施安全启动链验证
  3. 添加硬件安全模块(HSM)支持
  4. 建立固件签名验证机制

2. 访问控制与认证参数

多因素认证要求:

  • MFA 类型:FIDO2/WebAuthn(防网络钓鱼)
  • 令牌有效期:最大 8 小时
  • 会话超时:15 分钟不活动
  • 并发会话限制:每个用户 1 个

权限管理参数:

  • 最小权限原则:按角色分配访问权限
  • 国家查询功能:需要司法授权
  • 跨州查询:默认禁用,需要额外审批
  • 审计日志保留:最少 7 年

3. 供应链安全控制清单

硬件采购要求:

  1. 完整的物料清单(BOM)披露
  2. 所有组件的原产国验证
  3. 关键组件(SoC、基带处理器)的美国或盟国来源
  4. 工厂级安全审计和渗透测试

制造过程控制:

  • 安全启动密钥在受控环境中注入
  • 固件签名密钥分段存储
  • 生产环境空气隔离
  • 每个设备的唯一加密身份

4. 数据完整性与监控参数

数据验证机制:

  • 哈希链验证:确保数据完整性
  • 时间戳同步:NTP 服务器与原子钟同步
  • 地理围栏验证:防止数据位置伪造
  • 设备健康监控:实时异常检测

监控阈值参数:

  • 异常访问尝试:>5 次 / 分钟触发警报
  • 数据修改检测:任何未经授权的修改立即报告
  • 设备离线时间:>30 分钟触发调查
  • API 调用异常:偏离基线 > 3 标准差

5. 网络架构加固方案

零信任架构实施:

  1. 微隔离:每个摄像头在独立网络段
  2. 服务网格:所有通信通过加密隧道
  3. 持续验证:每次请求都验证身份和权限
  4. 最小攻击面:关闭所有非必要端口和服务

ArcGIS 集成安全:

  • API 密钥轮换:每 24 小时自动轮换
  • 访问范围限制:仅必要权限
  • 监控集成:实时检测异常访问模式
  • 备份隔离:生产与备份环境物理分离

结论:从消费者级安全到关键基础设施标准

Flock Safety 构建了一个强大的监控能力,在范围上可与联邦情报机构相媲美,但却以易受攻击的消费级产品的安全卫生标准运行。这种二分法创造了危险的真空。该网络足够强大,可以成为全面监控的工具,但又足够脆弱,可以被拥有笔记本电脑的青少年或具有战略议程的外国情报部门颠覆。

在硬件漏洞得到修复、外国供应链被切断、数据治理得到加强之前,Flock 网络必须被视为国家安全架构中的受损资产。实施上述加固方案不仅是对单个产品的修复,更是将消费者物联网安全标准提升到关键基础设施要求的必要步骤。

资料来源

  1. Yves Smith, "Flock Camera Vulnerability: It's Worse Than You Think", Naked Capitalism, November 25, 2025
  2. Ali Gündoğar, "Vulnerability Assessment and Intelligence Estimate of the Flock Safety Surveillance Network", Medium, December 3, 2025
  3. 技术分析基于对 Flock Camera 固件的逆向工程和安全审计报告
查看归档