Cyanogen es una de las empresas más conocidas en el sector de las ROMS personalizadas. CyanogenMod y todas las personalizaciones bassadas en esta ROM son de las más descargadas, aunque parece ser que, si tienes una ROM de CyanogenMod puedes tener un problema.
Y es que un experto en seguridad, que no ha querido revelar su nombre, ha encontrado un peligroso fallo de seguridad que afectaría a todos los usuarios que utilicen la ROM CyanogendMod y las numerosas ROM que derivan de ella.
CyanogenMod tiene graves fallos de seguridad
La principal razón de esta violación de la seguridad se basa en la neglicencia de algún programador de Cyanogen. Uno de estos fallos se basa en el hecho de que el equipo detrás de CyanogenMod copió un código obsoleto de Oracle Java 1.5. Este código, utilizado para analizar los certificados e identificar los nombres de host, sufre una serie de errores y es especialmente vulnerable a ataques MiTM(Hombre en el medio en sus siglas en inglés).
Un ataque MitM o intermediario, en español es un ataque en el que el se adquiere la capacidad de leer, escribir y modificar a voluntad los mensajes entre dos partes sin que ninguna de ellas sepa de esta manipulación. De esta forma el atacante puede interceptar mensajes entre ambas víctimas.Además también se podría, entre otras cosas, realizar un ataque de denegación de servicio. En definitiva, un fallo de seguridad bastante gordo.
“Yo estaba mirando código de componente HTTP y yo estaba pensando que yo había visto este código antes. Comprobé en GitHub y descubrí una tonelada [sic] de los otros códigos obsoletos que estaban usando,” el experto de seguridad también afirmó que, “si crea un certificado SSL para un dominio que usted posee, por ejemplo evil.com y en un elemento de la solicitud de firma de certificado como en el campo” nombre de la organización ‘se pone el’ valor, cn = * nombre de dominio *, será de forma automáticaaceptado como el nombre de dominio válido para el certificado”.
Por suerte este experto de seguridad ya se ha puesto en contacto con el equipo de Cyanogen y están trabajando para solucionar este grave fallo de seguridad lo antes posible.
El artículo CyanogenMod tiene un peligroso fallo de seguridad ha sido originalmente publicado en Androidsis.
Continúar leyendo...