SICUREZZA INFORMATICA
Comunicato Stampa

CyanogenMod di Android permette attacchi Man in the Middle

17/10/14

Gran parte degli utenti che utilizzano la popolare ROM CyanogenMod sviluppata da Cyanogen potrebbero finire per essere vittime di attacchi man in the middle (MiTM). Il problema sarebbe causato dall'utilizzo di codice Java ormai obsoleto.

FotoGran parte degli utenti che utilizzano la popolare ROM CyanogenMod sviluppata da Cyanogen potrebbero finire per essere vittime di attacchi man in the middle (MiTM). Il problema sarebbe causato dall'utilizzo di codice Java ormai obsoleto.
CyanogenMod sotto attaccoSecondo quanto pubblicato dal magazine The Registrer, gli sviluppatori di CyanogenMod avrebbero riutilizzato una porzione di codice di Oracle come 'prova di concetto' per realizzare la validazione dei nomi host e per produrre certificati SSL.
Sfortunatamente il codice Java in questione ha circa 10 anni di età e, a livello di età informatica, questa è tutt'altro che una buona notizia. Si tratta di codice scaricabile gratuitamente su Github e di cui si conoscono diverse vulnerabilità (come bypassare il certificato SSL indicando come valido uno di cui si ha rubato l'identità). E, come se non bastasse, parliamo di alterazioni che nemmeno le Autorità di Certificazioni sarebbero in grado di riconoscere.
"Se decidiamo di creare un certificato per un sito web nostro, per esempio evil.com, assegnando a un elemento della firma del certificato (per esempio il nome dell'organizzazione) un valore "value, cn=*domain name*", questo sará accettato come nome di dominio valido per il certificato" spiega uno degli scopritori dell'anomalia.
Dato che CyanogenMod usa questa implementazione nei suoi navigatori predefiniti, sarebbe possibile realizzare un attacco MiTM via web nel telefono.
Tutto colpa del Copy-Paste
Le affermazioni del ricercatore puntano il dito contro gli esperti di CyanogenMod che avrebbero letteralmente fatto un 'copia e incolla' del codice presente da tempo su Github e utilizzato ovviamente da migliaia di altri utenti.
Considerando il silenzio da parte dei responsabili di CyanogenMod, il ricercatore, che ha preferito rimanere nell'anonimato, alla fine ha deciso di rendere noto il problema pubblicamente, durante il meeting sulla sicurezza di Ruxcon, conclusosi il passato 12 di ottobre in Melbourne, Australia.



Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Comunicazione Web
Responsabile account:
 Alessandro Elia (Redattore)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
RSS di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Tutte le categorie
Internet Nuovi Siti Motori Ricerca Software Linux Sic. Informatica Hi-Tech Corsi
 
Editoria Attualità Medicina Eventi Sport Musica Spettacolo Arte e Cultura
 
Turismo Gastronomia Economia Aziendali Accordi Commercio Servizi Altro