16.10.2014, 21:13
Am Montag legte das "Register" einen Artikel bereit, welcher behauptet, dass CyanogenMod offen für eine MITM (Man-in-the-middle) Attacke war. Dies gelang wohl über eine "0-Day" Sicherheitslücke im Zusammenhang mit einer SSL-Sicherheitslücke in Android JSSE vor 2 Jahren.
CyanogenMod betont allerdings, dass der angebliche "Entdecker" der Lücke nicht auf deren Fragen antwortet und so keinerlei Kooperation zur Lösung des Problems beziehungsweise der vollständigen Bestätigung stattfinden konnte. Dass das "Register" den Anfragen des CM Teams nicht antwortet ist merkwürdig, da auf der Webseite bisher eigentlich nur positive Artikel über CyanogenMod erschienen sind.
Zur Beruhigung: JSSE wird in Android 4.4 nicht mehr verwendet, somit sind schon mal nur Geräte betroffen, die mit Android 4.3 und niedriger laufen. Des Weiteren heißt es, dass CyanogenMod diese Ebene des Codes nicht angepasst habe und der Fehler somit theoretisch bei dem Android-Entwicklungs-Team kann.
Zum Schluss betont das CM Team noch, dass der Fehler immerhin schon 2 Jahre alt ist und sie in Sachen Sicherheit immer sehr sorgfältig waren. Und genau diese Sorgfalt im Sicherheitsbereich seie schon mit vielen glücklichen Usern belohnt worden. Um zum Artikel aus dem "Register" zurückzukommen: Das CyanogenMod Team hat offiziell bestätigt das nähere Hinweise auf die Sicherheitslücke -ohne die Hilfe vom Entdecker- nicht gefunden werden konnte. Somit sei CyanogenMod immer noch genauso sicher, wie bisher.