Updater CyanogenMod kwetsbaar voor MiTM-aanval
Het ingebouwde updateprogramma van de Android-ROM CyanogenMod is kwetsbaar voor Man-in-the-Middle-aanvallen, waardoor een aanvaller kwaadaardige updates kan installeren. Een Android-ROM is een aangepaste versie van het Android-besturingssysteem.
Eigenaren van een geroote smartphone kunnen een Android-ROM op hun toestel installeren. CyanogenMod is op dit moment de populairste Android-ROM en wordt inmiddels ook standaard als mobiel besturingssysteem op Android-smartphones van fabrikant OPPO geïnstalleerd. Het aantal CyanogenMod-gebruikers groeit snel. Naast de 10 miljoen gebruikers komen er elke dag 20.000 nieuwe installaties bij.
Kwetsbaarheid
De kwetsbaarheid ontstaat doordat het ingebouwde updateprogramma geen SSL blijkt te gebruiken. Een aanvaller die zich tussen de CyanogenMod-gebruiker en het internet kan plaatsen, kan de updatetool daardoor kwaadaardige updates laten downloaden. Het probleem wordt nog vergroot doordat de updatetool de handtekening van de update niet controleert. De kwetsbaarheid werd door een Nieuw-Zeelandse blogger genaamd Kyhwana ontdekt.
Hij stelt dat een aanvaller alleen maar een legitieme update van CyanogenMod hoeft te downloaden. Vervolgens kan de update worden aangepast om daarna aan de smartphone van het slachtoffer te worden aangeboden. Als bewijs geeft de blogger op zijn eigen blog een demonstratie. Inmiddels is de bug bij het ontwikkelteam van CyanogenMod aangemeld. Om het probleem op te lossen moet CyanogenMod naast het gebruik van SSL ook de handtekening van de update controleren.
Weg vertrouwen in Cyanogen.
Weg vertrouwen in Cyanogen.
Als bij een fout iets direct niet meer te vertrouwen is, kan je beter geen computer gebruiken. Overal zit wel een klein dingetje in.
Hopelijk fixen ze het snel! Zo moeilijk kan het niet zijn om er een SSL verbinding van te maken waarbij het SSL-certificaat wordt gecontroleerd.
Weg vertrouwen in Cyanogen.
Het OS is niet lek, de manier hoe de updates worden gechecked en binnen worden gehaald is lek.
Netjes is het niet nee.
Cyanogenmod doen erg veel voor mensen die een samsung of company x toestel hebben die geen support meer heeft na 2 jaar.
Mijn samsung galaxy s wordt zelfs nog gesupport en met de laatste security features zoals SElinux.
Als er veiligere alternatieven staan dan Cyanogenmod dan hoor ik het graag..
Echter, het zou een goed idee zijn als ze ook gebruik maakten van code signing.
http://review.cyanogenmod.org/#/c/59870/1/res/values/config.xml
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
