流行安卓系统CyanogenMod发现安全漏洞, 1000万用户恐受影响
作者:星期五, 十月 17, 20140

CyanogenMod1

研究人员最近发现, 由于复用了存在安全漏洞的代码, 安卓的CyanogenMod分支存在着中间人攻击(MitM)的漏洞, 这个0Day漏洞可能会影响超过1000万用户。

这个漏洞可以使得攻击者攻击这个操作系统上的任何浏览器。 一位不愿具名的研究人员发现,CyanogenMod的开发者和很多其他开发者一样, 直接把Oracle的Java 1.5中用于解析数字证书来获取主机名的示例代码直接拿来使用, 而这段代码很早就被发现存在Bug。

这位研究人员说:”当我研究CyanogenMod的HTTP组件代码时,发现这段代码很眼熟, 我发现开发者直接是把这段存在漏洞的代码复制粘贴过来的。 而我搜索了一下GitHub, 发现大量的程序员都在使用这段代码。”

研究人员就这个漏洞试图与CyanogenMod的开发者联系,却迟迟得不到反馈。

这个漏洞在2012年就被披露出来了,而在今年年初, Apache的HTTP库中也发现了这个SSL不进行主机名验证的漏洞。

这也就意味着, 黑客可以在SSL证书上使用任意主机名, 骗取证书发放机构的信任,从而可以实施中间人攻击。

“如果你用自己的域名,比如evil.com, 创建一个SSL证书, 而在证书签发的”Organization Name”一栏里写入“’value,cn=*domain name”,你的证书可以作为一个合法的域名的证书被浏览器接受。”这位研究人员写道。

而CyanogenMod的SSL实施就存在着这样的漏洞,也就是说, 用户可能被暴露于中间人攻击的风险之下。 “

这其实是一个代码复用导致安全漏洞的案例。 这里安全牛提醒各位开发者在采用涉及安全相关的代码时要认真研究可能存在的漏洞。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章