Прошивка Cyanogenmod для Android уязвима для атак "человек посередине"

Как сообщает online-журнал The Register, более 10 миллионов пользователей послепродажной прошивки для сотовых телефонов и планшетов Cyanogenmod для Android оказались уязвимы к атакам "человек посередине" из-за повторного использования уязвимого фрагмента исходного кода.

Уязвимость позволяет атаковать любой web-браузер, установленный в популярном дистрибутиве.

По словам пожелавшего остаться неизвестным исследователя безопасности одной из крупнейших компаний, разработчики Cyanogenmod, как и многие другие, реализовали исходный код Oracle для Java 1.5. Эксперт отметил, что некоторые компоненты кода HTTP показались ему знакомыми, и при ближайшем рассмотрении выяснилось, что разработчики просто скопировали уязвимый исходный код.

Исследователь обнаружил уже  известные  уязвимости в библиотеках Apache, в которых отсутствовала верификация SSL-сертификатов. Таким образом, злоумышленники могли использовать любое имя хоста, которое система принимала как легитимное, что, в свою очередь, предоставляло больше возможностей для осуществления атак "человек посередине".

Разработчики Cyanogenmod были проинформированы об уязвимости, но пока никак не прокомментировали ситуацию.