Прошивка Cyanogenmod для Android уязвима для атак "человек посередине"

Прошивка Cyanogenmod для Android уязвима для атак "человек посередине"

Уязвимость позволяет атаковать любой web-браузер, установленный в популярном дистрибутиве.

Как сообщает online-журнал The Register, более 10 миллионов пользователей послепродажной прошивки для сотовых телефонов и планшетов Cyanogenmod для Android оказались уязвимы к атакам "человек посередине" из-за повторного использования уязвимого фрагмента исходного кода.

Уязвимость позволяет атаковать любой web-браузер, установленный в популярном дистрибутиве.

По словам пожелавшего остаться неизвестным исследователя безопасности одной из крупнейших компаний, разработчики Cyanogenmod, как и многие другие, реализовали исходный код Oracle для Java 1.5. Эксперт отметил, что некоторые компоненты кода HTTP показались ему знакомыми, и при ближайшем рассмотрении выяснилось, что разработчики просто скопировали уязвимый исходный код.

Исследователь обнаружил уже  известные  уязвимости в библиотеках Apache, в которых отсутствовала верификация SSL-сертификатов. Таким образом, злоумышленники могли использовать любое имя хоста, которое система принимала как легитимное, что, в свою очередь, предоставляло больше возможностей для осуществления атак "человек посередине".

Разработчики Cyanogenmod были проинформированы об уязвимости, но пока никак не прокомментировали ситуацию.


Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.