Sicurezza · 3 min read · Oct 24, 2025

Vulnerabilità zero day della ROM CyanogenMod all'attacco Man-in-the-Middle

Table Of Contents

  • La popolare ROM di terze parti per Android, CyanogenMod, suscettibile a attacchi Man-in-the-Middle (MitM)
  • ROM CyanogenMod
  • Attacco Man-in-the-Middle
  • Il segnalatore anonimo
  • Il difetto
  • Conclusione

La popolare ROM di terze parti per Android, CyanogenMod, suscettibile a attacchi Man-in-the-Middle (MitM)

La popolare ROM di terze parti per Android chiamata CyanogenMod ROM è suscettibile a un attacco Man-in-the-Middle (MitM). Questa vulnerabilità può esporre circa 10 milioni di utenti della ROM CyanogenMod ad attacchi man-in-the-middle (MitM). La vulnerabilità MitM può significare che un utente Android che utilizza la ROM CyanogenMod può essere preso di mira da qualsiasi browser installato sullo smartphone/tablet Android.

Questa vulnerabilità zero day è presente nella ROM Android più popolare grazie al riutilizzo di codice campione vulnerabile da parte del Team CyanogenMod su varie versioni.

ROM CyanogenMod

La ROM CyanogenMod è un sistema operativo open source per smartphone e tablet Android. La maggior parte degli utenti che non sono soddisfatti del sistema operativo Google Android stock o vogliono fare qualche magia tecnica con i loro smartphone utilizzano la ROM CyanogenMod o altre ROM. Consente l’accesso root agli utenti Android altrimenti negato dal sistema operativo proprietario di Google. Questo, a sua volta, consente agli utenti di modificare e far comportare lo smartphone esattamente come desiderano. È una delle ROM più popolari perché è gratuita, open source e viene aggiornata regolarmente dal suo team guidato da Steve Kondik, con molti forum dedicati a segnalare bug e trucchi nel sistema operativo.

Attacco Man-in-the-Middle

L’attacco Man-in-the-Middle comunemente chiamato attacco MitM è quando l’hacker riesce a intercettare la vittima attraverso l’esecuzione arbitraria di certificati. In un MitM, l’hacker stabilisce connessioni indipendenti con le vittime e inoltra messaggi tra di loro, facendoli credere di parlare direttamente l’uno con l’altro su una connessione privata, quando in realtà l’intera conversazione è controllata, osservata e annotata dall’hacker. Un semplice esempio è un utente che apre un sito web bancario e comunica con il server bancario. Normalmente, il SOP non consente a terzi di spiare questa comunicazione, ma nel caso di un attacco MitM, un hacker può accedere a questa particolare comunicazione utilizzando punti di accesso validi senza la conoscenza dell’utente.

Affinché un MitM abbia successo, entrambe le parti comunicanti, cioè il tuo PC e il sito web bancario, devono essere soddisfatte riguardo all’autenticità reciproca. Questo avviene attraverso certificati che la tua macchina e i server bancari comunicano e verificano. Un’approvazione di certificazione falsa da parte del sito web può aprire la porta a attacchi MitM.

Il segnalatore anonimo

Un ricercatore di sicurezza che desidera rimanere anonimo e lavora per un fornitore di smartphone di alto livello ha informato l’ufficio australiano di The Register, noto anche come Vulture South, riguardo a questa vulnerabilità zero day.

Ha dichiarato che la vulnerabilità deriva dal fatto che gli sviluppatori di Cyanogenmod avevano preso il codice campione di Oracle per Java 1.5 per l’analisi dei certificati per ottenere nomi host e lo avevano implementato in tutte le versioni successive delle ROM CyanogenMod e Nightlys. Il problema era che questi certificati erano vulnerabili a un bug più vecchio e sono stati successivamente corretti da Oracle. Tuttavia, il team degli sviluppatori di CyanogenMod ha continuato a utilizzare i vecchi certificati non corretti.

“Stavo esaminando il codice del componente HTTP e pensavo di aver già visto questo codice,” ha detto il ricercatore, aggiungendo “Hanno semplicemente copiato e incollato il codice campione ed è quello che era vulnerabile.”

Il ricercatore ha quindi controllato il repository Git online, Github, solo per scoprire che molti altri utilizzavano gli stessi certificati non corretti.

Il difetto

Il difetto scoperto nel 2012 riguarda le vulnerabilità SSL nelle librerie e ha creato molto clamore tra gli utenti Java in quel momento. È stato ulteriormente studiato a febbraio di quest’anno. Il difetto consentiva agli attaccanti di utilizzare qualsiasi nome host desiderassero sui certificati SSL e di farlo accettare dai grandi enti certificatori, aprendo la strada a attacchi MitM su larga scala agli utenti di certificati.

“Se vai a creare un certificato SSL per un dominio che possiedi, diciamo evil.com e in un elemento della richiesta di firma del certificato come il campo ‘nome dell’organizzazione’ metti il ‘valore,cn=nome dominio, verrà accettato come nome di dominio valido per il certificato”

Così il difetto è stato trasferito a ogni build di CyanogenMod rilasciata dagli sviluppatori senza alcuna attenzione alle librerie non corrette.

Conclusione

Il ricercatore è stato apparentemente respinto dal team di CyanogenMod quando si è avvicinato a loro con il PoC per questa vulnerabilità e dopo essere stato respinto, ne ha parlato al zero-day all’evento di sicurezza Ruxcon a Melbourne.

Share: X/Twitter LinkedIn
#Sicurezza

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.