Voltado para os usuários que procuram uma alternativa diferente de Rom para Android, o Cyanogenmod se tornou um dos mais conhecidos serviços de distribuição de firmware para o sistema operacional do Google. Contudo, a versão 11, que foi disponibilizada recentemente, apresenta uma falha de segurança grave que possibilita qualquer hacker roubar dados e informações do usuário utilizando uma técnica muito simples e conhecida. As informações são do Pplware.

A falha afeta todas as versões da aplicação e não somente a lançada recentemente. Ela está bem identificada e se trata de um problema relacionado a um código Java utilizado para validar os nomes dos servidores por meio de certificados Web.

O investigador que descobriu a vulnerabilidade observou que a Cyanogen utiliza o código fornecido pela Oracle, o qual é conhecido por ter problemas relacionados à segurança. Na verdade, essa falha foi descoberta em 2012 e novamente voltou a mostrar que não foi devidamente solucionada.

Ao que parece, os desenvolvedores não verificaram o código, limitando-se apenas a copiá-lo de acordo com o fornecido pela Oracle. Qualquer atacante pode criar um certificado e alterar o nome do servidor de maneira direta. Por isso, a vulnerabilidade está presente na maneira com que a validação dos nomes dos servidores recebidos nos certificados é realizada. Com a ação do hacker, as portas para ataques do tipo “Men in The Midle” (MIM) ficam abertas.

A Oracle tratou de corrigir a falha há algum tempo, no entanto a Cyanogen e outros desenvolvedores insistem em utilizar o código que ainda apresenta o problema, o que faz com que os usuários fiquem vulneráveis aos ataques.

A Cyanogen já tratou de se pronunciar afirmando que já está trabalhando para encontrar uma solução para as próximas versões. Ao que tudo indica, a solução deve ser simples, levando os desenvolvedores a trocar o código utilizado pelo fornecido pela Oracle que corrige a falha.

O erro de optar pelo código vulnerável é estranho e pode ser apenas uma falha humana por parte dos programadores. No entanto, era esperado que, por ter sido corrigido há anos, esse tipo de problema não voltasse a atormentar os usuários de códigos da Oracle.