Todo ha quedado solucionado en la última versión Nightly, pero el caso es que desde el pasado mes de agosto todas las versiones de CyanogenMod 10 liberadas han contado con un error de seguridad destacable. Al parecer, el patrón de bloqueo de la pantalla era vulnerable al acceso del archivo en el que se guarda la combinación de trazos necesaria para desbloquear el terminal.
Uno de los integrantes del equipo de desarrollo, después de descubrir el fallo de seguridad, se preguntaba cómo no había sido detectado antes. Todo cabe indicar que se trata de un hecho fortuito puesto que la persona que incluyó en la ROM CyanogenMod el sistema de desbloqueo por patrón, previamente personalizado para incluir un mayor número de puntos para crear “la contraseña”, no buscaba perjudicar a la plataforma de desarrollo.
Muchos de vosotros utilizaréis a diario el bloqueo de pantalla de vuestro terminal Android, especialmente el que funciona mediante un patrón. Éste no es más que la posibilidad de dibujar ficticiamente en la pantalla una secuencia de movimientos con el dedo, guiada a través de una serie de puntos fijos. Sin embargo, el equipo de CyanogenMod introdujo allá por el mes de agosto una variante que aumentaba ese número de puntos. El resultado sería un mayor número de combinaciones posibles y, por tanto, mayor seguridad para impedir el acceso indeseado de otras personas al sistema operativo, funciones y ecosistema de aplicaciones.
Sin embargo, lejos de mejorar la seguridad de Android, la introducción de esta herramienta ha demostrado comportarse como un auténtico agujero de seguridad. Y es que dicho sistema permitía averiguar el patrón de desbloqueo a través de la línea de comandos ADB, previa conexión del smartphone al PC vía cable USB. Concretamente, con una secuencia de comandos determinada, cualquier persona que conociese la vulnerabilidad podía acceder al archivo que guarda la “combinación”.
No obstante, para tranquilidad de los muchos que usáis esta conocida ROM personalizada –CyanogenMod 10 ha registrado más de 240.000 instalaciones-, la última versión de prueba lanzada ya incluye la corrección a este problema.