CyanogenMod, la très célèbre ROM alternative pour smartphones sous Android contiendrait un exploit Java dû à une mauvaise réutilisation d’un code.

Un expert en sécurité s’est aperçu que la ROM contenait un code Java vulnérable, qui, lorsqu’il est exploité permettrait une attaque de type Man-in-the-middle. Ainsi, une sécurité pourrait être contournée.

La vulnérabilité permet d’associer n’importe quel nom de domaine à un certificat SSL et, de le faire accepter comme domaine valide.

D’après cet expert, le bout de code vulnérable est présent dans de nombreux codes Open Source. En fait, ce sont les développeurs qui utilisent un exemple de code Java de validation des certificats SSL, simplement en effectuant un copier-coller. Certes, c’est pratique mais par contre s’il y a des bugs et des failles dans le composant, on ne s’en rend pas compte !

Visiblement, cette faille n’est pas méchante et devrait être rapidement corrigée. L’expert en sécurité affirme qu’il s’agit d’une erreur banale sur les dangers de la réutilisation de code.

En termes de réactivité, nous pouvons faire confiance à la communauté Cyanogen.

Source