Уязвимость позволяет принять недоверенный SSL-сертификат.
Исследователи из компании Nightwatch Cybersecurity сообщили об обнаружении уязвимости в кросс-платформенной библиотеке Intel CrossWalk, предназначенной для разработки приложений под iOS, Windows Phone и Android.
Уязвимость ( CVE-2016-5672 ) существует из-за ошибки в реализации фреймворка для разработки под Android, позволяющей перманентно принять недоверенный SSL-сертификат. В результате приложение больше не пытается осуществить валидацию любых других SSL-сертификатов. Удаленный пользователь может обменом заставить жертву принять недоверенный сертификат, осуществить атаку «человек посередине» и похитить важные данные.
Специалисты Nightwatch Cybersecurity проинформировали о проблеме команду разработчиков Intel CrossWalk. В настоящее время исправленные версии библиотеки - 19.49.514.5 (stable), 20.50.533.11 (beta), 21.51.546.0 (beta), 22.51.549.0 (canary) уже доступны на сайте разработчика.
Одно найти легче, чем другое. Спойлер: это не темная материя