Прошивка Cyanogenmod для Android уязвима для атак "человек посередине"
Уязвимость позволяет атаковать любой web-браузер, установленный в популярном дистрибутиве.
Как сообщает online-журнал The Register, более 10 миллионов пользователей послепродажной прошивки для сотовых телефонов и планшетов Cyanogenmod для Android оказались уязвимы к атакам "человек посередине" из-за повторного использования уязвимого фрагмента исходного кода.
Уязвимость позволяет атаковать любой web-браузер, установленный в популярном дистрибутиве.
По словам пожелавшего остаться неизвестным исследователя безопасности одной из крупнейших компаний, разработчики Cyanogenmod, как и многие другие, реализовали исходный код Oracle для Java 1.5. Эксперт отметил, что некоторые компоненты кода HTTP показались ему знакомыми, и при ближайшем рассмотрении выяснилось, что разработчики просто скопировали уязвимый исходный код.
Исследователь обнаружил уже известные уязвимости в библиотеках Apache, в которых отсутствовала верификация SSL-сертификатов. Таким образом, злоумышленники могли использовать любое имя хоста, которое система принимала как легитимное, что, в свою очередь, предоставляло больше возможностей для осуществления атак "человек посередине".
Разработчики Cyanogenmod были проинформированы об уязвимости, но пока никак не прокомментировали ситуацию.
Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.
