Updater CyanogenMod kwetsbaar voor MiTM-aanval
Het ingebouwde updateprogramma van de Android-ROM CyanogenMod is kwetsbaar voor Man-in-the-Middle-aanvallen, waardoor een aanvaller kwaadaardige updates kan installeren. Een Android-ROM is een aangepaste versie van het Android-besturingssysteem.
Eigenaren van een geroote smartphone kunnen een Android-ROM op hun toestel installeren. CyanogenMod is op dit moment de populairste Android-ROM en wordt inmiddels ook standaard als mobiel besturingssysteem op Android-smartphones van fabrikant OPPO geïnstalleerd. Het aantal CyanogenMod-gebruikers groeit snel. Naast de 10 miljoen gebruikers komen er elke dag 20.000 nieuwe installaties bij.
Kwetsbaarheid
De kwetsbaarheid ontstaat doordat het ingebouwde updateprogramma geen SSL blijkt te gebruiken. Een aanvaller die zich tussen de CyanogenMod-gebruiker en het internet kan plaatsen, kan de updatetool daardoor kwaadaardige updates laten downloaden. Het probleem wordt nog vergroot doordat de updatetool de handtekening van de update niet controleert. De kwetsbaarheid werd door een Nieuw-Zeelandse blogger genaamd Kyhwana ontdekt.
Hij stelt dat een aanvaller alleen maar een legitieme update van CyanogenMod hoeft te downloaden. Vervolgens kan de update worden aangepast om daarna aan de smartphone van het slachtoffer te worden aangeboden. Als bewijs geeft de blogger op zijn eigen blog een demonstratie. Inmiddels is de bug bij het ontwikkelteam van CyanogenMod aangemeld. Om het probleem op te lossen moet CyanogenMod naast het gebruik van SSL ook de handtekening van de update controleren.
Weg vertrouwen in Cyanogen.
Weg vertrouwen in Cyanogen.
Als bij een fout iets direct niet meer te vertrouwen is, kan je beter geen computer gebruiken. Overal zit wel een klein dingetje in.
Hopelijk fixen ze het snel! Zo moeilijk kan het niet zijn om er een SSL verbinding van te maken waarbij het SSL-certificaat wordt gecontroleerd.
Weg vertrouwen in Cyanogen.
Het OS is niet lek, de manier hoe de updates worden gechecked en binnen worden gehaald is lek.
Netjes is het niet nee.
Cyanogenmod doen erg veel voor mensen die een samsung of company x toestel hebben die geen support meer heeft na 2 jaar.
Mijn samsung galaxy s wordt zelfs nog gesupport en met de laatste security features zoals SElinux.
Als er veiligere alternatieven staan dan Cyanogenmod dan hoor ik het graag..
Echter, het zou een goed idee zijn als ze ook gebruik maakten van code signing.
http://review.cyanogenmod.org/#/c/59870/1/res/values/config.xml
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.