La société Cyanogen rêve de devenir une alternative pérenne aux grands systèmes d'exploitation mobiles en proposant des ROM optimisées pour les smartphones Android. Elle prépare une nouvelle levée de fonds pour se développer mais elle pourrait être confrontée à un problème de sécurité concernant sa ROM CyanogemMod alternative à Android et utilisée par plus de 10 millions d'utilisateurs dans le monde.

cyanogenmod 1  Un expert en sécurité s'est aperçu qu'elle intégrait un code Java vulnérable pouvant exposer les utilisateurs à une attaque de type Man-in-the-Middle, qui permet de contourner une sécurité en faisant croire au système qu'elle a été légitimement passée.

Ici, elle permet d'associer n'importe quel nom de domaine aux certificats SSL et de les faire accepter comme domaines valides. Le site The Register indique que la faille avait déjà été documentée en 2012. L'expert en sécurité s'est aperçu que ce bout de code vulnérable était présent dans de nombreux codes fournis en open source.

Le souci viendrait du fait que les développeurs utilisent le même exemple de code Java de validation des certificats SSL et le copient-collent tel quel dans leur code. La solution est pratique puisque c'est un composant qui n'est pas à réécrire mais elle a l'inconvénient d'être sensible aux bugs et failles que ledit code exemple pourrait contenir.

L'expert en sécurité note que la correction de ce problème est très simple à mettre en oeuvre et qu'il s'agit ici d'un cas d'école sur les dangers de la réutilisation de code.

Source : The Register