Die Custom-ROM CyanogenMod bietet allerhand Vorteile gegenüber der von Google herausgegebenen rohen Android-Fassung. Dazu zählen neben den erweiterten Möglichkeiten zur Anpassung der Benutzeroberfläche und sinnvollen neuen Apps auch die zusätzlichen Sicherheitsvorkehrungen, die durch Ende-zu-Ende-Verschlüsselung böswillige Datendiebe unter anderem daran hindern sollen, Daten auf dem Weg vom sendenden zum empfangenden Gerät abzufangen. Das gilt aber offenbar nicht für alle Daten, wie The Register von einem Sicherheitsexperten erklärt bekommen hat. Denn tatsächlich sollen die Entwickler von CyanogenMod einen Code-Schnipsel von Java 1.5 verwenden, der bereits vor zwei Jahren als Unsicher gemeldet wurde und durch den theoretisch Man-in-the-Middle-Angriffe möglich sind.
"Sie haben den Beispiel-Code einfach kopiert und eingefügt, und das war der unsichere Teil", sagt ein anonymer Sicherheitsforscher gegenüber The Register. Ihm sei der schwache Code für die Auflösung von SSL-Sicherheitszertifikaten bei seiner Recherche im CyanogenMod-Quellcode bekannt vorgekommen. Es stellte sich heraus, dass dieser nicht nur von den Entwicklern der Android-Firmware, sondern auch von zahlreichen anderen Programmierer verwendet wird. Durch die Sicherheitslücke könnten Browser manipulierte Zertifikate von Webseiten nicht als schädlich erkennen, würden sie folglich akzeptieren und das gesamte System anfällig für das Abfangen und Abspeichern abgeänderter Daten machen.
Der Fehler sei allerdings recht einfach zu beheben, wie der Experte zu Protokoll gibt. In der öffentlichen Bug-Datenbank von CyanogenMod wurde der entsprechende Eintrag als "ungültig" markiert und mittlerweile wieder geschlossen - eine Stellungnahme des Entwicklers bleibt bis jetzt aus.