Pplware

Falha de segurança grave encontrada na versão 11 da Cyanogen

Versões mais antigas também estão afectadas.

A Cyanogemnod é uma das Roms mais conhecidas de todos os que procuram uma alternativa à versão do Android que a Google disponibiliza aos fabricantes de smartphones.

Recentemente chegada à versão 11, foi descoberto que esta Rom tem uma falha de segurança grave, que permite que qualquer atacante possa roubar os dados de um utilizador, usando uma simples técnica há muito conhecida.

A falha está bem identificada e afecta tanto a versão 11 desta Rom bem como outras versões mais antigas. O problema está num código Java usado para validar os nomes dos servidores através dos certificados dos Web, que se sabe que tem problemas de segurança.

A falha foi descoberta por um investigador que detectou que a Cyanogen usa um código fornecido pela Oracle e que se sabe ter problemas de segurança. Esta falha foi inicialmente descoberta em 2012 e recentemente voltou a provar-se estar com problemas. Aparentemente, o código não foi verificado pelos programadores, que se limitaram a copiar o código disponibilizado pela Oracle, e que se sabe ter problemas.

O problema está na forma como a validação dos nomes dos servidores recebidos nos certificados é feita, podendo qualquer um fazer um certificado e alterar o nome do servidor de forma directa, abrindo assim as portas a ataques do tipo MIM (Men in The Midle).

A falha foi já corrigida há bastante tempo pela Oracle, mas a Cyanogen e outros insistem em usar o código com problemas, mantendo os seus milhares de utilizadores vulneráveis a este problema.

O investigador que descobriu este problema contactou a Cyanogen para reportar o problema, que respondeu que estariam já a tratar da sua resolução para uma das próximas versões. A correcção deste problema aparentemente será simples, bastando trocar o código que está em utilização por outro que a Oracle já disponibilizou e que corrige a falha do anterior.

É estranha a utilização do código com problemas pela Cyanogem quando há vários anos se conhece seu problema e a forma de o resolver.

Exit mobile version