CyanogenMod : une faille de type Man-in-the-middle détectée

Le par  |  5 commentaire(s) Source : The Register
cyanogenmod 1

La ROM alternative pour smartphones Android CyanogenMod serait vectrice d'un exploit Java du fait de la réutilisation d'un code vulnérable copié-collé en série.

La société Cyanogen rêve de devenir une alternative pérenne aux grands systèmes d'exploitation mobiles en proposant des ROM optimisées pour les smartphones Android. Elle prépare une nouvelle levée de fonds pour se développer mais elle pourrait être confrontée à un problème de sécurité concernant sa ROM CyanogemMod alternative à Android et utilisée par plus de 10 millions d'utilisateurs dans le monde.

cyanogenmod 1 Un expert en sécurité s'est aperçu qu'elle intégrait un code Java vulnérable pouvant exposer les utilisateurs à une attaque de type Man-in-the-Middle, qui permet de contourner une sécurité en faisant croire au système qu'elle a été légitimement passée.

Ici, elle permet d'associer n'importe quel nom de domaine aux certificats SSL et de les faire accepter comme domaines valides. Le site The Register indique que la faille avait déjà été documentée en 2012. L'expert en sécurité s'est aperçu que ce bout de code vulnérable était présent dans de nombreux codes fournis en open source.

Le souci viendrait du fait que les développeurs utilisent le même exemple de code Java de validation des certificats SSL et le copient-collent tel quel dans leur code. La solution est pratique puisque c'est un composant qui n'est pas à réécrire mais elle a l'inconvénient d'être sensible aux bugs et failles que ledit code exemple pourrait contenir.

L'expert en sécurité note que la correction de ce problème est très simple à mettre en oeuvre et qu'il s'agit ici d'un cas d'école sur les dangers de la réutilisation de code.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1812801
"sur les dangers de la réutilisation de code" Peu importe son niveau
Le #1812810
Mais oui, continuer a installer des rom custom sur vos smartphones !
Le #1812811
Personnellement, je préfère :

Women-in-the-middle

Après chacun ses positions préférées ...
Le #1812831
"la faille avait déjà été documentée en 2012" ...
"L'expert en sécurité s'est aperçu que ce bout de code vulnérable était présent dans de nombreux codes fournis en open source." ...
"Le souci viendrait du fait que les développeurs utilisent le même exemple de code"

Pwoua, le libre c'est de la balle mon gars, des milliers de développeur relise le code alors c'est safe tu peux y aller ... Et puis même si il y a des failles c'est patcher bien plus vite que Cro$soft ...

Après moi le déluge
Le #1813071
http://www.cyanogenmod.org/blog/in-response-to-the-register-mitm-article

J'aurais cru GNT capable de vérifier ses sources et surtout de se renseigner avant de balancer un article pour faire sensation. Vous voilà descendu bien bas ...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]