Ciberseguridad · 4 min read · Oct 24, 2025

Vulnerabilidad de día cero en la ROM de CyanogenMod a ataques Man-in-the-Middle

Tabla de Contenidos

  • La popular ROM de terceros de Android, CyanogenMod, susceptible a ataques Man-in-the-Middle (MitM)
  • ROM de CyanogenMod
  • Ataque Man-in-the-Middle
  • El informante anónimo
  • La falla
  • Conclusión

La popular ROM de terceros de Android, CyanogenMod susceptible a ataques Man-in-the-Middle (MitM)

La popular ROM de Android de terceros llamada CyanogenMod es susceptible a un ataque Man-in-the-Middle (MitM). Esta vulnerabilidad puede causar que alrededor de 10 millones de usuarios de la ROM de CyanogenMod estén expuestos a ataques man-in-the-middle (MitM). La vulnerabilidad MitM puede significar que un usuario de Android que utiliza la ROM de CyanogenMod puede ser objetivo desde cualquier navegador instalado en el smartphone/tableta Android.

Esta vulnerabilidad de día cero está presente en la ROM de Android más popular gracias a la reutilización de código de muestra vulnerable por parte del equipo de CyanogenMod en varias versiones.

ROM de CyanogenMod

La ROM de CyanogenMod es un sistema operativo de código abierto para smartphones y tabletas Android. La mayoría de los usuarios que no están contentos con el sistema operativo Google Android de serie o que quieren hacer algo de magia técnica con sus smartphones utilizan la ROM de CyanogenMod u otras ROMs. Permite acceso root a los usuarios de Android que de otro modo sería denegado por el sistema operativo propietario de Google. Esto a su vez permite a los usuarios modificar y ajustar el smartphone para que se comporte exactamente como el usuario lo desea. Es una de las ROMs más populares porque es gratuita, de código abierto y se actualiza regularmente por su equipo liderado por Steve Kondik, con muchos foros dedicados a encontrar errores y trucos en el sistema operativo.

Ataque Man-in-the-Middle

El ataque Man-in-the-Middle comúnmente llamado ataque MitM es cuando el hacker logra espiar a la víctima a través de la ejecución arbitraria de certificados. En un MitM, el hacker establece conexiones independientes con las víctimas y retransmite mensajes entre ellas, haciéndoles creer que están hablando directamente entre sí a través de una conexión privada, cuando en realidad toda la conversación está controlada, observada y anotada por el hacker. Un ejemplo simple es un usuario que abre un sitio web bancario y se comunica con el servidor bancario. Normalmente, el SOP no permite que ningún tercero espíe esta comunicación, pero en el caso de un ataque MitM, un hacker puede acceder a esta comunicación particular utilizando puntos de entrada válidos sin el conocimiento del usuario.

Para que un MitM tenga éxito, ambas partes comunicantes, es decir, su PC y el sitio web bancario, deben estar satisfechas con la autenticidad mutua. Esto se hace a través de certificados que su máquina y los servidores bancarios comunican y verifican. Una aprobación de certificación falsa por parte del sitio web puede abrir la puerta a ataques MitM.

El informante anónimo

Un investigador de seguridad que desea permanecer en el anonimato y trabaja para un proveedor de smartphones de primer nivel informó a la oficina australiana de The Register, también conocida como Vulture South, sobre esta vulnerabilidad de día cero.

Él declaró que la vulnerabilidad surge del hecho de que los desarrolladores de Cyanogenmod habían tomado el código de muestra de Oracle para Java 1.5 para analizar certificados y obtener nombres de host, e implementaron esto en todos los lanzamientos posteriores de las ROMs de CyanogenMod y Nightlys. El problema era que estos certificados eran vulnerables a un error anterior que fue posteriormente corregido por Oracle. Sin embargo, el equipo de desarrolladores de CyanogenMod aún utilizaba los antiguos certificados no corregidos.

“Estaba revisando el código del componente HTTP y pensé que había visto este código antes”, dijo el investigador, y agregó “Simplemente copiaron y pegaron el código de muestra y eso fue lo que era vulnerable.”

El investigador luego revisó el repositorio en línea de Git, Github, solo para encontrar que muchos otros estaban utilizando los mismos certificados no corregidos.

La falla

La falla que se descubrió en 2012 se relaciona con las vulnerabilidades de SSL en las bibliotecas y había creado mucho alboroto entre los usuarios de Java en ese momento. Se investigó más en febrero de este año. La falla permitía a los atacantes utilizar cualquier nombre de host que desearan en los certificados SSL y que fuera aceptado por grandes entidades certificadoras, abriendo vías para ataques MitM a gran escala sobre los usuarios de certificados.

“Si vas y creas un certificado SSL para un dominio que posees, digamos evil.com, y en un elemento de la solicitud de firma del certificado, como el campo ‘nombre de la organización’, pones el ‘valor, cn=nombre de dominio, será aceptado como el nombre de dominio válido para el certificado”

Así, la falla se trasladó a cada versión de CyanogenMod lanzada por los desarrolladores sin prestar atención a las bibliotecas no corregidas.

Conclusión

*El investigador fue aparentemente rechazado por el equipo de CyanogenMod cuando se acercó a ellos con el PoC para esta vulnerabilidad y después de ser rechazado, lo mencionó en el día cero en el evento de seguridad Ruxcon en Melbourne.

Share: X/Twitter LinkedIn
#Ciberseguridad

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.