En étant la ROM Custom basée sur Android la plus populaire, CyanogenMod pourrait potentiellement devenir une cible importante pour les hackers si une faille de sécurité était découverte. Malheureusement, il semblerait que ce soit justement le cas, comme nous le rapporte aujourd’hui The Register.
C’est en étudiant le cœur du système de CyanogenMod qu’un expert en sécurité qui a souhaité rester anonyme s’est alors aperçu que la ROM utilisait un copier-coller d’un ancien code Java 1.5, depuis corrigé par Oracle mais jamais mis à jour au sein de la ROM Custom. Code qui est justement utilisé pour la validation des certificats SSL. Une négligence susceptible de créer une vulnérabilité de type Man in the middle (MITM).
Une faille de sécurité découverte au sein de CyanogenMod.
Dans le cas de CyanogenMod, la faille permet de créer un certificat SSL pour un nom de domaine et un élément de signature puis de faire accepter ce nom de domaine comme valide, quel qu’il soit. Une faille potentiellement dangereuse car si celle-ci devait être exploitée, elle pourrait compromettre la vie privée des 10 millions d’utilisateurs de la ROM Custom.
A noter que bien que le chercheur ait souhaité rester anonyme, il a néanmoins informé l’équipe de CyanogenMod de l’existence de cette vulnérabilité. On imagine que ces derniers feront le nécessaire aussi rapidement que possible pour corriger le problème.
Enfin, sachez que CyanogenMod 11 M11 est désormais disponible au téléchargement avec une longue liste de nouveautés à la clé.
Aucun commentaire:
Publier un commentaire