CyanogenMod presenta un alarmante fallo de seguridad
Cuando hablamos de Cyanogen, estamos hablando de una de las empresas con mayor presencia en el sector de las ROMs personalizadas. CyanogenMod y todas las ROMs basadas en esta son las más descargadas. Aunque parece ser que si usas alguna de estas podrías estar más que expuesto a un problema. Y es que un experto de seguridad, quien ha preferido permanecer en el anonimato, ha encontrado un peligroso fallo de seguridad que afectaría a todos los usuarios que usen CyanogenMod y las variadas ROMs que derivan de ella.
La principal causa de este problema es la negligencia de algún programador de Cyanogen. Uno de estos fallos se basa en que algún equipo detrás de CyanogenMod copió y usó un código obsoleto de Oracle Java 1.5. Este código, cuya función es analizar los certificados e identificar los nombres de host, sufre una serie de errores que lo hacen susceptible a ataques MiTM (Men in the middle u hombre en medio por sus siglas en inglés).
¿Pero qué es un ataque MiTM? Consiste en que un intermediario tenga la capacidad de leer, escribir y modificar a voluntad los mensajes entre dos partes sin que ninguna de ellas se entere de esta manipulación. De esta forma el atacante puede interceptar mensajes entre ambas víctimas además de poder causar una degeneración total del sistema. En otras palabras, Cyanogen, tanto programadores como usuarios, están frente a un problema bastante grande.
El experto de seguridad que dio a conocer el problema explicó:
“Yo estaba mirando código de componente HTTP y estaba pensando que había visto este código antes. Comprobé en GitHub y descubrí una tonelada de los otros códigos obsoletos que estaban usando. Si crea un certificado SSL para un dominio que usted posee, por ejemplo evil.com y en un elemento de la solicitud de firma de certificado como en el campo” nombre de la organización ‘se pone el’ valor, cn = * nombre de dominio *, será de forma automática aceptado como el nombre de dominio válido para el certificado”.
Por fortuna, el hombre ya se puso en contacto con el equipo de Cyanogen para que el problema pueda ser arreglado a la brevedad.
Vía: Androidisis