复用代码引发悲剧：含漏洞的安卓ROM致10万用户受中间人攻击（MITM）影响

关于CyanogenMod

CyanogenMod(发音：sigh-AN-oh-jen-mod。简称CM)：Cyanogen团队是目前全球最大的Android第三方编译团队，其发布的Android 2.1内核CM5系列ROM被广泛使用，促进了用户从Android 1.6到Android 2.1版本的第三方升级。这个小组曾经先于Google公司为很多手机率先定制出稳定的Android 1.6 ROM。

漏洞因复用示例代码导致

由于存在漏洞的示例代码，使得超过10万安装了Cyanogen安卓的用户受中间人（MITM）的攻击，而该漏洞的目标是流行的安卓社区中的任何浏览器。

包括 Cyanogenmod在内的许多开发者都利用甲骨文Java1.5示例代码来解析证书，以获取存在旧漏洞并且易受攻击的主机名。并在获取主机名之后攻击目标。

相关研究人员说他一直在调查HTTP组件代码并且声称之前就见到过这类代码，而且Cyanogenmod也只是复制粘贴这些示例代码。他在搜索GitHub后发现有许多项目同样复用了漏洞代码。研究者还揭露了影响供应商的漏洞，这一漏洞的揭露对于Cyanogenmod维护者来说是很不幸的，因为这就意味着他们在墨尔本的 Ruxcon安全事件维护中白费苦力了。

Cyanogenmod的成因

研究者还发现漏洞早在2012年就披露了，它与缺乏SSL主机名验证有关，允许攻击者在SSL证书中获取任意的主机名，这为中间人攻击的利用开辟了道路。

[参考来源http://www.theregister.co.uk/2014/10/13/androids_cyanogenmod_open_to_mitm_attacks/译/FreeBuf小编cindy，转载请注明来自FreeBuf.COM]