A Cyanogen trouxe uma pequena revolução para o Android ao tornar simples a instalação de ROM’s personalizadas, sem que o utilizador tivesse de passar pelo processo, nem sempre simples, de fazer root ao telefone.
Para além do mecanismo de instalação, o Cyanogem tem ainda um processo mais ou menos automático de actualização que mais uma vez retira ao utilizador qualquer intervenção e que coloca nos dispositivos a mais recente versão do Cyanogen.
Mas foi agora descoberto que este mecanismo de actualização está vulnerável e que com alguma facilidade pode ser enviada uma ROM qualquer, com as alterações que alguém mal intencionado queira introduzir num telefone.
Esta falha de segurança pode levar a que qualquer pessoa mal intencionada possa, com relativa facilidade, enviar para um equipamento que esteja a fazer a actualização do Cyanogen.
O problema está no facto de a chamada à API do Cyanogen ser feita sem recurso a mecanismos seguros e use a simples e insegura ligação de HTTP. As chamadas à API da Cyanogen é feita em claro e por isso pode ser desviada e os dados alterados.
Existe uma validação que é feita, a do md5sum que é enviado, mas assenta em dados que a própria resposta da API envia, que pode ser facilmente alterada.
Por passar em claro, e sem qualquer validação, torna-se simples para o atacante resgatar o pedido para uma máquina que controle e servir os dados que bem entender, tendo apenas de se preocupar em manter a coerência dos dados que enviar, uma vez que não será feita qualquer validação dos dados enviados.
Como foi provado por quem descobriu esta falha, este processo é muito simples de explicar e de implementar e pode levar a que, em teoria, um telefone veja instalada uma ROM alterada e com software malicioso.
To MITM someone’s update all you need to do is firstly grab a legit copy of the CM update they’re likely to upgrade to, unzip it, replace whatever you want inside it, md5sum it, then serve it up via http.
You replace the URL above with your evil URL, the md5sum with your new md5sum and the filename with your evil file. Then use something like mitmproxy + (Wifi pineapple/ARP spoofing/DNS spoofing/etc) to MITM the targets connection. mitmproxy will let you script/regex requests so you can replace the URL/md5sums automagically
Pode parecer um processo complexo, mas quem para quem está rotinado neste tipo de acções são apenas alguns passos simples e a utilização de software disponível na Internet.
Este problema está já a ser tratado pela Cyanogen, que entretanto disponibilizou o acesso às suas ROM’s por HTTPS, mas por enquanto o Cyanogenmods Updater ainda não usa esta ligação segura e com validação de certificados.
Para já o que é recomendado é que descarreguem essas actualizações de forma manual, e recorrendo às ligações seguras, para garantirem que não estão a ser servidas ROM’s alteradas e com software indesejado.
A confiança nestes mecanismos traz alguns perigos associados. Estão dispostos a aceitá-los e a conviver com eles?