Как сообщает online-журнал The Register, более 10 миллионов пользователей послепродажной прошивки для сотовых телефонов и планшетов Cyanogenmod для Android оказались уязвимы к атакам "человек посередине" из-за повторного использования уязвимого фрагмента исходного кода.
Уязвимость позволяет атаковать любой web-браузер, установленный в популярном дистрибутиве.
По словам пожелавшего остаться неизвестным исследователя безопасности одной из крупнейших компаний, разработчики Cyanogenmod, как и многие другие, реализовали исходный код Oracle для Java 1.5. Эксперт отметил, что некоторые компоненты кода HTTP показались ему знакомыми, и при ближайшем рассмотрении выяснилось, что разработчики просто скопировали уязвимый исходный код.
Исследователь обнаружил уже известные уязвимости в библиотеках Apache, в которых отсутствовала верификация SSL-сертификатов. Таким образом, злоумышленники могли использовать любое имя хоста, которое система принимала как легитимное, что, в свою очередь, предоставляло больше возможностей для осуществления атак "человек посередине".
Разработчики Cyanogenmod были проинформированы об уязвимости, но пока никак не прокомментировали ситуацию.
