Cyanogen 回应媒体： Rom 漏洞报道失实，毫无专业性

日前，英国科技资讯网站 The Register 发布了一篇 文章 ，指出 Android 操作系统研发公司 Cyanogen  的当家产品 CyanogenMod（以下简称 CM）存在一个容易遭到中间人攻击的漏洞。Cyanogen 公司今天对该报道做出了 公开回复 ，指出该报道严重失实、失准。

The Register 在文章中指出，该公司开发的 CM 操作系统由于使用了 Android 开源系统中的存在 SSL 漏洞的 JSSE（Java Secure Socket Extension）版本，从而存在受到中间人攻击（Man-In-The-Middle Attack，MITM）的严重风险。

Cyanogen 回应称，最新的 Android 开源项目大版本 4.4（KitKat）当中已经不再使用 JSSE，因此涉事漏洞只影响 Android 4.3 以及以前的版本。而 CM 操作系统的最新版本均基于 Android 4.4 KitKat 开发，不会受到影响。

同时，The Register 文章指责 Cyanogen 在对 Android 开源项目进行开发的时候，由于自己失误导致了漏洞的存在。对此，Cyanogen 澄清自己从来不会对 JSSE 这个级别的代码进行修改。这意味着即便这个漏洞存在的话，错误也绝对不是 Cyanogen 的，而应该是 Android 开源项目的问题，也即是 Google 的问题。

Cyanogen 还公开表示，自己的团队在漏洞的发现和治理解决方面能力优秀，业绩显著。

历史上，CM 团队曾经多次领先于业界，甚至 Google 发起的 AOSP（Android Open-Source Project）本身，发现并提出修复意见。大名鼎鼎的 Towelroot 漏洞（「一键」获取 Android 操作系统 Root 权限）就是由 Cyanogen 首先发现； 另一个例子就是 AOSP 修复 Master Key 漏洞，其修复的主要贡献者还是 Cyanogen 团队的成员。而 The Register 提到的 JSSE MITM 漏洞已经存在许久，且已被 公开了长达两年之久 ，Cyanogen 声称自己的团队不可能在这种情况下，继续容许这个漏洞留存在产品当中。

The Register 在报道中的专业性问题也颇受质疑。Cyanogen 指出，在文章的发布之前和之后，该公司都没能够和 The Register 进行过任何有效的沟通，试图和 The Register 私下取得联系，提供报道中失实之处的正当解释，也被 The Register 搁置。因此，该公司只好选择公开澄清。

Cyanogen 是目前 Android 第三方开源操作系统领域内最优秀的，同时也是商业化最成功的团队。此前外媒有消息指出，该公司拒绝了 Google 的收购邀约，并 正在寻求新一轮融资 以支撑 10 亿美元的公司估值。