复用代码引发悲剧:含漏洞的安卓ROM致10万用户受中间人攻击(MITM)影响

关于CyanogenMod

CyanogenMod(发音:sigh-AN-oh-jen-mod。简称CM):Cyanogen团队是目前全球最大的Android第三方编译团队,其发布的Android 2.1内核CM5系列ROM被广泛使用,促进了用户从Android 1.6到Android 2.1版本的第三方升级。这个小组曾经先于Google公司为很多手机率先定制出稳定的Android 1.6 ROM。

漏洞因复用示例代码导致

由于存在漏洞的示例代码,使得超过10万安装了Cyanogen安卓的用户受中间人(MITM)的攻击,而该漏洞的目标是流行的安卓社区中的任何浏览器。

包括 Cyanogenmod在内的许多开发者都利用 甲骨文Java1.5 示例代码来解析证书,以获取存在旧漏洞并且易受攻击的主机名。并在获取主机名之后攻击目标。

相关研究人员说他一直在调查HTTP组件代码并且声称之前就见到过这类代码,而且Cyanogenmod也只是复制粘贴这些示例代码。他在搜索GitHub后发现有许多项目同样复用了漏洞代码。研究者还揭露了影响供应商的漏洞,这一漏洞的揭露对于Cyanogenmod维护者来说是很不幸的,因为这就意味着他们在墨尔本的 Ruxcon安全事件维护中白费苦力了。

Cyanogenmod的成因

研究者还发现漏洞早在2012年就披露了,它与缺乏SSL主机名验证有关,允许攻击者在SSL证书中获取任意的主机名,这为中间人攻击的利用开辟了道路。