CyanogenMod de Android permite ataques Man in the Middle

0

CyanogenMod sufre ataques MiTMAquellos usuarios que utilizáis la popular ROM CyanogenModdesarrollada por Cyanogen podríais acabar siendo víctimas de ataques man in the middle (MitM). Se debería a la reutilización de una muestra de código Java, ya obsoleto.

CyanogenMod es peligroso hasta que se solvente

Según un informe publicado por el periódico tecnológico “The Registrer“, los desarrolladores de CyanogenMod han estado reutilizando una porción de código proporcionada por Oracle a modo de “prueba de concepto” para realizar la validación de nombres de host y la producción de certificados SSL.

El código Java en cuestión contaría ya con 10 años de antiguedad, toda una vida si hablamos en términos informáticos, sumando a esto que dicho código está disponible en Github para su descarga pública, siendo conocido por varias vulnerabilidades que ofrecerían la opción a un atacante de sobrepasar el certificado SSL, indicando como válido uno suplantado. Como colofón, ni siquiera las CAs o Entidades de Certifificación serían capaces de reconocer la alteración.

“Si decidimos crear un certificado para un sitio web de nuestra propiedad, por ejemplo digamos evil.com, y en un elemento de la firma del certificado (por ejemplo el campo “nombre de organización”) asignamos el valor “value, cn=*domain name*”, este será aceptado como nombre de dominio válido para el certificado”, explica uno de los descubridores de la vulnerabilidad.

Dado que CyanogenMod utiliza esta implementación en sus navegadores incluídos, podría desembocar en un ataque MiTM vía web en el teléfono.

Reutilización sistemática del código

Según ha comentado el investigador -quien por cierto ha preferido mantener el anonimato- los responsables de CyanogenMod simplemente hacían “copy-paste” del código de muestra una y otra vez. Él mismo decidió comprobar Github y afirmó que miles de usuarios y otros desarrolladores habían estado usándolo a su vez.

El investigador se puso en contacto con los proveedores afectados, pero no tuvo suerte con el equipo de Cyanogenmod, que no le tuvo en cuenta. Por este motivo ha decido publicarlo finalmente en el evento de seguridad Ruxcon de Melbourne, finalizado el 12 de Octubre.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR