CyanogenMod ROM: un nome, una garanzia. Forse

CyanogenMod ROM: un nome, una garanzia. Forse.

Infatti, se è vero che la Cyano, ad oggi, risulta essere una delle custom ROM più diffuse, utilizzate ed apprezzate all’interno del panorama Android è anche innegabile che al suo interno qualche errorino di programmazione e qualche bug qui e là ci sia. Certo rientra tutto nelle norma, d’altro canto, errare è umano. Se però errare è umano non bisogna dimenticarsi che tappare i bug noti il più velocemente possibile è divino, specialmente se comportano rischi per la sicurezza dei dati sensibili.  Ed è proprio per via di questi (potenzialmente) pericolosi bug sulla sicurezza che nelle ultime ore la CyanogenMod ha fatto parlare di sé.

cyanogenmod

A quanto pare infatti l’arcinoto custom firmware – e tutte le ROM che sulla Cyanogemod sono basate -, indipendentemente dalla versione, sarebbe afflitto da una grave falla di sicurezza capace di esporre gli smartphone sulla quale è installata a pericolosi attacchi MitM (acronimo di “man in the middle”) che, in sostanza, mirano a sottrarre informazioni sensibili attraverso una serie di certificati di sicurezza fasulli. Peculiarità di questo tipo di attacco crittografico sta nell’essere impossibile da identificare e nell’essere capace di concedere all’attaccante la possibilità di osservare, intercettare e replicare verso la destinazione prestabilita le informazioni inviate dal malcapitato telefono.

stavo guardando il codice ‘component’ HTTP e mi pareva di averlo già visto prima. Ho controllato su GitHub e ho scoperto che tantissimi altri lo utilizzavano” ha rivelato l’anonimo informatore sulla sicurezza che ha scoperto la falla, ” Se crei un certificato SSL per un dominio che possiedi, per esempio evil.com e in un elemento della richiesta di firma del certificato (come il ‘nome organizzazione’) metti il ‘value,cn=*nome del dominio*, verrà accettato come nome del dominio valido per il certificato.”

La ragione di questa falla sarebbe da ricercare nella negligenza dei programmatori CynogenMod e nel “copia e incolla” – di vecchio codice Java non immune ad attacchi MitM – adoperato per semplificare il processo di programmazione. Certo, la falla è stata immediatamente segnalata a CyanogenMod in modo tale da garantire, nel minor tempo possibile, il rilascio delle necessarie contromisure ma, intanto, una domanda sorge spontanea: come faranno tutti quei dispositivi non più supportati e che già da tempo magari non ricevono aggiornamenti software ? Si devono forse arrendere all’inesorabile esposizione al rischio ? Nel frattempo un consiglio agli utenti della Cyano lo possiamo dare, occhio a quali siti andate ad aprire.

Fonte