CyanogenMod teneva traccia di come sbloccavamo i nostri dispositivi. Rimosso il codice incriminato

CyanogenMod

Non si sa come possa essere capitato e soprattutto chi sia stato, ma nelle ROM CyanogenMod dal mese di Agosto vi era una linea di codice che registrava tutti i movimenti effettuati dall’utente per sbloccare il proprio dispositivo. Lo sviluppatore CyanogenMod Gabriel Castro si è accorto della presenza di questa linea di codice ed ha individuato subito il metodo per eliminarla, ed in realtà non c’era nulla di più semplice da fare. Bastava, infatti, semplicemente eliminare la linea di codice o trasformare il codice in commento in modo che il dispositivo non lo avrebbe eseguito. Il tutto non avrebbe comportato la benchè minima instabilità di sistema o cose del genere.

Ecco le parole di Gabriel Castro:

commit Ibc0d5bfcee9673b1bf049bd69be80d2312602a47 made it so that the lockpattern was loged in logcat as it was entered. I’m really surprised nobody caught this. This could also be solved by commenting the code out or just removing the line without breaking anything.

Patch Set 3: Remove logging

ovvero:

il commit Ibc0d5bfcee9673b1bf049bd69be80d2312602a47 ha fatto sì che il pattern di sblocco fosse registrato nel logcat non appena era inserito. Sono davvero sorpreso di come nessuno non si sia accorto di questo. Questo può essere anche risolto trasformando in commento il codice oppure semplicemente rimuovendo la linea di codice senza andare a danneggiare nulla.

Patch Set 3: Rimozione registrazione

Di seguito, l’immagine della linea di codice incriminata:.

Naturalmente non si tratta di nulla di grave sotto il profilo di eventuali attacchi sul dispositivo, in quanto per questi si ha bisogno di avere accesso fisico al device oppure ad un backup del device. Sotto però il profilo della privacy, questa vulnerabilità poteva comunque causare furto di dati in alcune circostanze.

La linea di codice è stata comunque rimossa a partire dalle attuali ROM Nightly che dovrebbero quindi garantire maggiore sicurezza.

[Via]

Commenti

Ti invitiamo ad usare toni consoni e di rimanere in tema all'argomento trattato, in caso contrario, il sistema automatico potrebbe oscurare il tuo messaggio e potrebbero trascorrere fino a 48h per la verifica ed un'eventuale autorizzazione.
TuttoAndroid si riserva comunque il diritto di allontanare le persone non adatte a tenere un comportamento corretto e rispettoso verso gli altri.

  • kormoran

    Ragazzi però non vi agitate…
    Nè nel titolo nè nell’articolo ci sono allarmismi, o frasi da fine del mondo.

    è stata riportata una notizia. Punto.

    Nessuno ha scritto che era un bug, era pericoloso, era voluto, era grave, era da spasarsi….
    QUindi un bel respiro e via… ;)

  • Un titolone allarmante e poi salta fuori che è solo un Log.v dimenticato.. mah

  • Una riga di codice che scrive due numeri in un file di log (che probabilmente viene cancellato al riavvio del telefono) non mi sembra proprio un buco di sicurezza.
    Cyanogenmod non registra proprio niente…

  • Una riga di codice che scrive due numeri in un file di log (che probabilmente viene cancellato al riavvio del telefono) non mi sembra proprio un buco di sicurezza.
    Cyanogenmod non registra proprio niente…

  • Però avete scritto “brutta storia”. Mi sembra esagerato

  • Alessio Facchin, non siamo giornalisti e non è allarmismo…possibile che non venga vista come una notizia da dare perchè ci sono 2,5 milioni di utenti che usano la CyanogenMod?

  • Alessio Facchin (FB)

    Io la vedo come il solito allarmismo giornalistico

  • Non mi sembra bruttissima: la vedo più come una distrazione potenzialmente pericolosa che come un’operazione deliberatamente maligna.

  • ma brutta storia de che?
    un contatore che conta quante volte si SBLOCCA LO SCHERMO TRAMITE GESTURE?!?!?
    una cosa che NON finisce nelle statistiche, non viene inviata e non serve A NIENTE….
    questo articolo è puro allarmismo e disinformazione. Non serve fare niente, non c’è alcun pericolo, nessuna privacy e nessun bug… è stata solo levata una riga di codice inutile.

    • Giuseppe Iovene

      Andrea io credo che dovresti dosare un po’ più i termini…non è disinformazione in quanto nell’articolo è spiegato tutto e non è allarmismo ma semplice notizia che andava data per rispetto di tutti gli utenti che hanno la CyanogenMod. Che un contatore non serva a nulla magari lo sanno in pochi, fatto sta che la sua presenza è stata accertata e non se ne conosce il motivo. Fatto sta ancora che ne hanno parlato i maggiori siti Android del mondo ed hanno confermato che era una piccola vulnerabilità e non si sono usati termini catastrofici come invece stai facendo credere. Per cui non è allarmismo ma semplice dato di fatto. La chiudo qui, buona navigazione.

  • Non mi sembra un gran problema di privacy. A meno che non abbiano in mano il nostro telefono (e non so come potrebbero averlo!) non se ne fanno niente

  • maurolo bianco
  • Una banale riga di debug probabilmente dimenticata. Dio solo sa quante potrebbero essercene nel kernel di Windows ma anche di Linux ed altri S.O. Non è il caso di farne un dramma.

  • trudtilp

    Non è che mi pare sia una cosa tanto grave. Concordo con stefanopicciolo all’idea di un azione di debug che poi è stata dimenticata.
    Non credo comunque che dati di quel tipo avrebbero compromesso la sicurezza del sistema o dato modo alcuno di risalire a dati personale del divice.
    Tutto questo è indice di serietà del gruppo di sviluppo CyanogenMod.

  • stefanopicciolo

    Immagino questa riga sia stata inserita per debug e poi dimenticata

  • maurolo bianco

    se non ho una ROM Nightly come elimino questa linea di codice ?

Top