De acordo com um pesquisador de segurança anónimo e o The Register, mais de 10 milhões de utilizadores Android que usam CyanogenMod e derivados são potencialmente vulneráveis ​​a um tipo específico de ataque “man-in-the-middle”. O principal grupo vulnerável são os utilizadores que usam CyanogenMod e ROMs baseadas em CM. A equipa CyanogenMod afirmou que as alegações são inválidas e garantiu que CyanogenMod 11 está bem protegida.

A suposta vulnerabilidade foi descoberta por um pesquisador anónimo que trabalha para um dos principais fornecedores Android. Programadores CyanogenMod e outras equipas usaram código de exemplo da Oracle para Java 1.5, que pode potencialmente resultar em um ataque MITM devido á verificação inválida de hostname SSL. O atacante pode usar um navegador para executar código e roubar dados importantes, como números de cartões de crédito, etc

 

 

CyanogenMod-11-0-M5-Now-Up-for-Grabs-for-Over-50-Devices-436201-2

A falha foi descoberta em 2012 e discutida em muitas conferências de segurança. E de acordo com o pesquisador, o código, infelizmente, não foi corrigido, desde então, o pesquisador forneceu uma prova de conceito como exemplo sobre como usar a falha para obter o controlo do dispositivo:

“If you go and create a SSL certificate for a domain you own, say evil.com and in an element of the certificate signing request such as the ‘organisation name’ field you put the ‘value,cn=*domain name*, it will be accepted as the valid domain name for the certificate,” diz o pesquisador que alertou para a falha.

Segundo o pesquisador, o navegador da CyanogenMod parece manter as falhas, de modo que o ataque é possível. No entanto, uma declaração feita no Blog  CyanogenMod, a equipa rejeitou as alegações de vulnerabilidade, e classificou-as como sendo totalmente imprecisas. Segundo a equipa CM, só o Android 4.3 e abaixo podem ser atacados por esse método. A equipa garantiu ainda que levam todos os relatórios de segurança a sério e que estão a trabalhar arduamente para tornar mais segura a distribuição CyanogenMod Android disponível.

Relacionado:
Websummit: ITSector mostra o potencial de aplicações para diversas áreas de negócio

[via The Register]