Уязвимость нулевого дня в прошивке CyanogenMod под атакой «Человек посередине»

Table Of Contents

• Популярная сторонняя прошивка Android, CyanogenMod, подвержена атаке «Человек посередине» (MitM)
• Прошивка CyanogenMod
• Атака «Человек посередине»
• Анонимный информатор
• Недостаток
• Заключение

Популярная сторонняя прошивка Android, CyanogenMod, подвержена атаке «Человек посередине» (MitM)

Популярная сторонняя прошивка Android под названием CyanogenMod подвержена атаке «Человек посередине» (MitM). Эта уязвимость может подвергнуть около 10 миллионов пользователей прошивки CyanogenMod атакам «Человек посередине» (MitM). Уязвимость MitM может означать, что пользователь Android, использующий прошивку CyanogenMod, может стать мишенью для любой браузерной атаки на установленном на смартфоне/планшете Android.

Эта уязвимость нулевого дня присутствует в самой популярной прошивке Android благодаря повторному использованию уязвимого образца кода командой CyanogenMod в различных сборках.

Прошивка CyanogenMod

Прошивка CyanogenMod — это операционная система с открытым исходным кодом для смартфонов и планшетов на Android. Большинство пользователей, которые недовольны стандартной операционной системой Google Android или хотят провести некоторые технические манипуляции со своими смартфонами, используют прошивку CyanogenMod или другие прошивки. Она предоставляет доступ к root-права для пользователей Android, которые в противном случае были бы закрыты проприетарной операционной системой Google. Это, в свою очередь, позволяет пользователям настраивать и изменять поведение смартфона так, как им хочется. Это одна из самых популярных прошивок, потому что она бесплатная, с открытым исходным кодом и регулярно обновляется командой во главе со Стивом Кондиком с множеством форумов, посвященных поиску ошибок и трюков в операционной системе.

Атака «Человек посередине»

Атака «Человек посередине», обычно называемая атакой MitM, происходит, когда хакер получает возможность подслушивать жертву через произвольное выполнение сертификатов. В случае MitM хакер устанавливает независимые соединения с жертвами и передает сообщения между ними, заставляя их верить, что они общаются напрямую друг с другом через частное соединение, в то время как на самом деле весь разговор контролируется, наблюдается и фиксируется хакером. Простой пример — пользователь открывает банковский веб-сайт и общается с банковским сервером. Обычно SOP не позволяет третьим лицам подслушивать это общение, но в случае атаки MitM хакер может получить доступ к этому конкретному общению, используя действительные точки входа без ведома пользователя.

Для успешной атаки MitM обе стороны общения, т.е. ваш ПК и банковский веб-сайт, должны быть уверены в взаимной подлинности. Это достигается с помощью сертификатов, которые ваша машина и банковские серверы обмениваются и проверяют. Ложное одобрение сертификата веб-сайта может открыть двери для атак MitM.

Анонимный информатор

Исследователь безопасности, который пожелал остаться анонимным и работает на ведущего производителя смартфонов, сообщил австралийскому бюро The Register, также известному как Vulture South, об этой уязвимости нулевого дня.

Он заявил, что уязвимость возникает из-за того, что разработчики CyanogenMod использовали образец кода Oracle для Java 1.5 для разбора сертификатов с целью получения имен хостов и внедрили его во все последующие версии прошивок CyanogenMod и Nightlys. Проблема заключалась в том, что эти сертификаты были уязвимы к более старой ошибке, которая позже была исправлена Oracle. Однако команда разработчиков CyanogenMod все еще использовала старые неисправленные сертификаты.

«Я смотрел код компонента HTTP и думал, что видел этот код раньше», — сказал исследователь, добавив: «Они просто скопировали и вставили образец кода, и именно это было уязвимо».

Исследователь затем проверил онлайн-репозиторий Git, Github, и обнаружил, что многие другие также используют те же неисправленные сертификаты.

Недостаток

Недостаток, который был обнаружен в 2012 году, связан с уязвимостями SSL в библиотеках и вызвал много шума среди пользователей Java в то время. Он был дополнительно исследован в феврале этого года. Недостаток позволял злоумышленникам использовать любое имя хоста, которое они хотели, на SSL-сертификатах и принимать его от крупных сертификатных органов, открывая возможности для масштабных атак MitM на пользователей сертификатов.

«Если вы создадите SSL-сертификат для домена, который вам принадлежит, скажем, evil.com, и в одном из элементов запроса на подпись сертификата, например, в поле ‘название организации’, вы укажете значение, cn=имя домена, он будет принят как действительное имя домена для сертификата»

Таким образом, недостаток был перенесен на каждую сборку CyanogenMod, выпущенную разработчиками, без какого-либо внимания к неисправленным библиотекам.

Заключение

*Исследователь, очевидно, был отвергнут командой CyanogenMod, когда он обратился к ним с PoC для этой уязвимости, и после отказа он упомянул об этом нулевом дне на мероприятии по безопасности Ruxcon в Мельбурне.