CyanogenMod tiene un fallo de seguridad

cyanogenmod-11-mascota

Un experto en seguridad ha encontrado un agujero de seguridad en la famosa CyanogenMod y todas las ROMs que se derivan de ella.

Parece que la ROM personalizada no es tan perfecta como pensábamos. Pese a sacar una versión nueva cada mes, CyanogenMod tiene en su código un fallo de seguridad.

El problema reside en el fallo de algún programador de Cyanogenmod, puesto que el falo se encuentra en un código que se copió de Oracle Java 1.5. Un código que era utilizado para analizar los certificados y poder identificar los nombres de host, que sufre una serie de errores entre los que destaca una vulnerabilidad a ataques MiTM.

Este tipo de ataques permite que se adquiera la capacidad de leer, escribir y modificar los mensajes entre dos partes sin que ninguna de las dos sea consciente de la manipulación. Así, el atacante podría interceptar mensajes entre ambas víctimas.

También permite realizar ataques de denegación de servicio.

Según el experto que ha hallado este agujero, lo encontró mientras miraba código de componente HTTP. Se dio cuenta de que había visto el código anteriormente y, tras comprobarlo en GitHub, descubrió una gran cantidad de otros códigos obsoletos que estaban siendo utilizados por la ROM.

Otro de los agujeros permite que, tras crear un certificado SSL para un dominio propio, si en el campo de nombre de la organización se pone el valor nombre d edominio a la hora de solicitar la firma del certificado, será automáticamente aceptado como nombre válido para el certificado.

El equipo de Cyanogen ya está al tanto y ya se ha puesto manos a la obra para solucionar este fallo de seguridad. Así que, para la M12 de Noviembre, seguramente ya tengamos la vulnerabilidad corregida.

Puede dejar una respuesta, o trackback desde su sitio.