Sicherheit · 3 min read · Oct 24, 2025

CyanogenMod ROM Null-Tage-Sicherheitsanfälligkeit für Man-in-the-Middle-Angriffe

Table Of Contents

  • Beliebte Drittanbieter-ROM von Android, CyanogenMod anfällig für Man-in-the-Middle (MitM) Angriffe
  • CyanogenMod ROM
  • Man-in-the-Middle Angriff
  • Der anonyme Informant
  • Der Fehler
  • Fazit

Beliebte Drittanbieter-ROM von Android, CyanogenMod anfällig für Man-in-the-Middle (MitM) Angriffe

Das beliebte Drittanbieter-Android-ROM namens CyanogenMod ROM ist anfällig für einen Man-in-the-Middle (MitM) Angriff. Diese Sicherheitsanfälligkeit kann dazu führen, dass etwa 10 Millionen Benutzer von CyanogenMod ROM einem Man-in-the-Middle (MitM) Angriff ausgesetzt sind. Die MitM-Sicherheitsanfälligkeit kann bedeuten, dass ein Android-Benutzer, der CyanogenMod ROM verwendet, von jedem auf dem Android-Smartphone/Tablet installierten Browser angegriffen werden kann.

Diese Null-Tage-Sicherheitsanfälligkeit ist in dem beliebtesten Android-ROM vorhanden, dank der Wiederverwendung von anfälligem Beispielcode durch das Team CyanogenMod über verschiedene Builds hinweg.

CyanogenMod ROM

CyanogenMod ROM ist ein Open-Source-Betriebssystem für Android-Smartphones und -Tablets. Die meisten Benutzer, die mit dem Standard-Google-Android-Betriebssystem unzufrieden sind oder einige technische Tricks mit ihren Smartphones durchführen möchten, verwenden CyanogenMod ROM oder andere ROMs. Es ermöglicht den Android-Benutzern Root-Zugriff, der vom proprietären Betriebssystem von Google sonst verweigert wird. Dies ermöglicht es den Benutzern, das Smartphone so anzupassen und zu manipulieren, wie sie es möchten. Es ist eines der beliebtesten ROMs, da es kostenlos, Open Source ist und regelmäßig von seinem Team unter der Leitung von Steve Kondik aktualisiert wird, mit vielen Foren, die sich dem Ausmerzen von Fehlern und Tricks im Betriebssystem widmen.

Man-in-the-Middle Angriff

Ein Man-in-the-Middle-Angriff, allgemein als MitM-Angriff bezeichnet, ist, wenn der Hacker es schafft, das Opfer durch willkürliche Ausführung von Zertifikaten abzuhören. Bei einem MitM stellt der Hacker unabhängige Verbindungen zu den Opfern her und leitet Nachrichten zwischen ihnen weiter, sodass sie glauben, direkt über eine private Verbindung miteinander zu kommunizieren, während das gesamte Gespräch tatsächlich vom Hacker kontrolliert, überwacht und protokolliert wird. Ein einfaches Beispiel ist ein Benutzer, der eine Bankwebsite öffnet und mit dem Bankserver kommuniziert. Normalerweise erlaubt das SOP keinen Dritten, diese Kommunikation abzuhören, aber im Falle eines MitM-Angriffs kann ein Hacker auf diese spezielle Kommunikation zugreifen, indem er gültige Einstiegspunkte nutzt, ohne dass der Benutzer es merkt.

Damit ein MitM erfolgreich ist, müssen beide kommunizierenden Parteien, d.h. Ihr PC und die Bankwebsite, über gegenseitige Authentizität zufrieden sein. Dies geschieht durch Zertifikate, die Ihre Maschine und die Bankserver kommunizieren und verifizieren. Eine falsche Zertifizierungsfreigabe durch die Website kann die Tür für MitM-Angriffe öffnen.

Der anonyme Informant

Ein Sicherheitsforscher, der anonym bleiben möchte und für einen erstklassigen Smartphone-Anbieter arbeitet, informierte das australische Büro von The Register, auch bekannt als Vulture South, über diese Null-Tage-Sicherheitsanfälligkeit.

Er erklärte, dass die Sicherheitsanfälligkeit daraus resultiert, dass die CyanogenMod-Entwickler den Beispielcode von Oracle für Java 1.5 zur Analyse von Zertifikaten zur Erlangung von Hostnamen übernommen und ihn in allen nachfolgenden Versionen von CyanogenMod ROMs und Nightlys implementiert haben. Das Problem war, dass diese Zertifikate anfällig für einen älteren Fehler waren und später von Oracle gepatcht wurden. Das Team der CyanogenMod-Entwickler verwendete jedoch weiterhin die alten, nicht gepatchten Zertifikate.

„Ich habe mir den HTTP-Komponenten-Code angesehen und dachte, ich hätte diesen Code schon einmal gesehen“, sagte der Forscher, er fügte hinzu: „Sie haben einfach den Beispielcode kopiert und eingefügt, und das war die Sicherheitsanfälligkeit.“

Der Forscher überprüfte dann das Online-Git-Repository, Github, und stellte fest, dass viele andere ebenfalls die gleichen nicht gepatchten Zertifikate verwendeten.

Der Fehler

Der Fehler, der 2012 entdeckt wurde, bezieht sich auf die SSL-Sicherheitsanfälligkeiten in Bibliotheken und hatte damals viel Aufregung unter Java-Benutzern ausgelöst. Er wurde im Februar dieses Jahres weiter untersucht. Der Fehler erlaubte es Angreifern, jeden gewünschten Hostnamen auf SSL-Zertifikaten zu verwenden und von großen Zertifizierungsstellen akzeptiert zu werden, was Möglichkeiten für großangelegte MitM-Angriffe auf die Zertifikatsbenutzer eröffnete.

„Wenn Sie ein SSL-Zertifikat für eine Domain erstellen, die Ihnen gehört, sagen wir evil.com, und in einem Element der Zertifikatsanforderung, wie dem Feld ‚Organisationsname‘, den Wert ‚cn=Domainname‘ eingeben, wird es als gültiger Domainname für das Zertifikat akzeptiert.“

So wurde der Fehler in jedes von den Entwicklern veröffentlichte CyanogenMod-Build übertragen, ohne auf die nicht gepatchten Bibliotheken zu achten.

Fazit

Der Forscher wurde anscheinend vom CyanogenMod-Team zurückgewiesen, als er sich mit dem PoC für diese Sicherheitsanfälligkeit an sie wandte, und nach der Zurückweisung erwähnte er sie als Null-Tage-Sicherheitsanfälligkeit auf der Ruxcon-Sicherheitsveranstaltung in Melbourne.

Share: X/Twitter LinkedIn
#Sicherheit

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.