Non si sa come possa essere capitato e soprattutto chi sia stato, ma nelle ROM CyanogenMod dal mese di Agosto vi era una linea di codice che registrava tutti i movimenti effettuati dall’utente per sbloccare il proprio dispositivo. Lo sviluppatore CyanogenMod Gabriel Castro si è accorto della presenza di questa linea di codice ed ha individuato subito il metodo per eliminarla, ed in realtà non c’era nulla di più semplice da fare. Bastava, infatti, semplicemente eliminare la linea di codice o trasformare il codice in commento in modo che il dispositivo non lo avrebbe eseguito. Il tutto non avrebbe comportato la benchè minima instabilità di sistema o cose del genere.
Ecco le parole di Gabriel Castro:
commit Ibc0d5bfcee9673b1bf049bd69be80d2312602a47 made it so that the lockpattern was loged in logcat as it was entered. I’m really surprised nobody caught this. This could also be solved by commenting the code out or just removing the line without breaking anything.
Patch Set 3: Remove logging
ovvero:
il commit Ibc0d5bfcee9673b1bf049bd69be80d2312602a47 ha fatto sì che il pattern di sblocco fosse registrato nel logcat non appena era inserito. Sono davvero sorpreso di come nessuno non si sia accorto di questo. Questo può essere anche risolto trasformando in commento il codice oppure semplicemente rimuovendo la linea di codice senza andare a danneggiare nulla.
Patch Set 3: Rimozione registrazione
Di seguito, l’immagine della linea di codice incriminata:.
Naturalmente non si tratta di nulla di grave sotto il profilo di eventuali attacchi sul dispositivo, in quanto per questi si ha bisogno di avere accesso fisico al device oppure ad un backup del device. Sotto però il profilo della privacy, questa vulnerabilità poteva comunque causare furto di dati in alcune circostanze.
La linea di codice è stata comunque rimossa a partire dalle attuali ROM Nightly che dovrebbero quindi garantire maggiore sicurezza.
[Via]