CyanogenMod 复用代码复制了中间人攻击弱点
jopen 10年前
流行的Android社区Mod Cyanogenmod因为复用了有漏洞的样本代码而被发现容易受到中间人攻击。存在漏洞的样本代码来自甲骨文的 Java 1.5,用于解析证书获取主机名。一名匿名的安全研究员称,Cyanogenmod 开发者拷贝粘贴了代码。他在搜索 GitHub 后发现有许多项目同样复用 了漏洞代码。漏洞早在2012年就披露了,与缺乏SSL主机名验证有关,它允许攻击者在SSL证书中使用任意的主机名,为中间人攻击开辟了道路。
来自: Solidot