Le navigateur Google Chrome pour Android présente un exploit de sécurité critique découvert par des experts en sécurité informatique, grâce auquel n'importe quelle version d'Android peut être exploitée.
Un chercheur chinois a démontré cet exploit lors d'une conférence PacSec, et avec son aide, toute version d'Android dans laquelle le vulnérable Google Chrome est installé peut être compromise par des pirates sans que l'utilisateur sache exactement ce qui se passe.
Sans fournir de détails sur l'exploit, le chercheur a déclaré que les vulnérabilités Javascript v8 sont utilisées pour prendre en charge les droits d'administrateur dans le système d'exploitation Android de la victime, nous parlons donc d'un problème majeur, le navigateur étant installé sur un très grand nombre de terminaux.
La partie la plus intéressante de cet exploit est qu'il peut exploiter le système d'exploitation en utilisant une seule vulnérabilité et non plusieurs vulnérabilités, comme c'est le cas dans la plupart des solutions de hack ou de jailbreak, nous parlons donc d'un problème majeur pour Google.
Ce qui est impressionnant dans l'exploit de Guang, c'est qu'il s'agissait d'un seul coup ; De nos jours, la plupart des gens doivent exploiter plusieurs vulnérabilités pour obtenir un accès privilégié et charger des logiciels sans interaction. Dès que le téléphone a accédé au site Web, la vulnérabilité JavaScript v8 de Chrome a été utilisée pour installer une application arbitraire (dans ce cas, un jeu BMX Bike) sans aucune interaction de l'utilisateur pour démontrer un contrôle total du téléphone.
En pratique, lorsqu'un utilisateur accède à un site Web sur lequel la vulnérabilité Javascript v8 est implémentée, une application de n'importe quel pirate informatique peut être installée automatiquement à l'insu de l'utilisateur, mais les choses ne seront pas aussi graves qu'elles le paraissent à première vue.
Google paiera une grosse somme d'argent au chercheur en sécurité qui a découvert cet exploit, et Google Chrome sera mis à jour pour résoudre le problème, mais il reste à voir combien d'utilisateurs installeront la mise à jour pour être protégés avant un pirate informatique à découvrir. l'exploit lui-même.
