De Google Chrome-browser voor Android heeft een kritiek beveiligingslek ontdekt door IT-beveiligingsexperts, waardoor elke versie van Android kan worden misbruikt.
Een Chinese onderzoeker demonstreerde deze exploit tijdens een PacSec-conferentie, en met zijn hulp kan elke versie van Android waarop het kwetsbare Google Chrome is geïnstalleerd door hackers worden gecompromitteerd zonder dat de gebruiker precies weet wat er gebeurt.
Zonder details over de exploit te geven, verklaarde de onderzoeker dat Javascript v8-kwetsbaarheden worden gebruikt om beheerdersrechten in het Android-besturingssysteem van het slachtoffer over te nemen. We hebben het dus over een groot probleem: de browser wordt op extreem veel terminals geïnstalleerd.
Het meest interessante deel van deze exploit is dat het het besturingssysteem kan misbruiken met behulp van één enkele kwetsbaarheid en niet met meerdere kwetsbaarheden, zoals gebeurt bij de meeste hacks of jailbreak-oplossingen. We hebben het dus over een groot probleem voor Google.
Het indrukwekkende aan Guangs wapenfeit is dat het één schot was; de meeste mensen moeten tegenwoordig verschillende kwetsbaarheden uitbuiten om geprivilegieerde toegang te krijgen en software te laden zonder interactie. Zodra de telefoon toegang kreeg tot de website, werd de JavaScript v8-kwetsbaarheid in Chrome gebruikt om een willekeurige applicatie (in dit geval een BMX Bike-game) te installeren zonder enige gebruikersinteractie om volledige controle over de telefoon aan te tonen.
Wanneer een gebruiker een website bezoekt waarop de Javascript v8-kwetsbaarheid is geïmplementeerd, kan in de praktijk automatisch een applicatie van een hacker worden geïnstalleerd zonder dat de gebruiker het weet, maar de zaken zullen niet zo ernstig zijn als ze op het eerste gezicht lijken.
Google gaat een flink bedrag betalen aan de beveiligingsonderzoeker die deze exploit heeft ontdekt, en Google Chrome zal worden geüpdatet om het probleem op te lossen, maar het valt nog te bezien hoeveel gebruikers de update zullen installeren om beschermd te zijn voordat een hacker deze ontdekt. de uitbuiting zelf.
