| Рубрикатор |  |
 |
| Все новости |  |
Новости отрасли | |
|
Любой Android-смартфон можно захватить одной гиперссылкой
| 16 ноября 2015 |
Уязвимость браузере Google Chrome позволяет получить контроль над любым Android-устройством. Обнаруживший ее исследователь написал эксплойт, который в качестве демонстрации устанавливает на смартфон приложение-игру без ведома и разрешения пользователя.
Веб-браузер Google Chrome содержит уязвимость, которая позволяет взломать любой Android-смартфон и получить контроль над ним. Об этом на мероприятии MobilePwn2Own в рамках конференции PacSec в Токио рассказал исследователь Гуан Гун (Guang Gong) из компании Quihoo 360.Гун сообщил подробности корпорации Google и уже был награжден за это бесплатной поездкой на конференцию CanSecWest в 2016 г. Он также может получить денежное вознаграждение.
Уязвимость находится в компоненте JavaScript-движке V8 в Google Chrome. Других подробностей Гун об уязвимости не стал раскрывать. Но отмечается особенность его находки: для того чтобы взломать Android-смартфон, достаточно лишь этой одной уязвимости. Это редкий случай, так как обычно хакерам приходится эксплуатировать несколько уязвимостей для проведения одной атаки, подчеркнул исследователь.
На мероприятии в Токио исследователь продемонстрировал уязвимость на смартфоне Nexus 5. Это аппарат Google предыдущего поколения. Устройства Nexus первыми получают обновления системы Android, в том числе обновления безопасности. По словам Гуна, на разработку эксплойта у него ушло четыре месяца.
«Как только пользователь открывает зараженный веб-сайт, посредством «дыры» в V8 в браузере Chrome выполняется установка произвольного приложения на смартфон, без каких-либо действий со стороны пользователя», — рассказал изданию Vulture South организатор PacSec Драгош Руйу (Dragos Ruiu). Он добавил, что Гун в качестве произвольного приложения выбрал безобидную игру BMX Bike.
Руйу добавил, что организаторы мероприятия проверили работоспособность эксплойта на конкретном смартфоне. По его словам, при желании эксплойт можно разработать для любого Android-смартфона, так как уязвимость содержится в компоненте Google Chrome.
Брешь в движке V8 — последний, но далеко не единственной пример уязвимости, затрагивающей большинство пользователей Android-устройств. В конце июля 2015 г. компания Zimperium сообщила об обнаружении уязвимости, позволяющей выполнить произвольный код, в 950 млн Android-смартфонах. Другая уязвимость, обнаруженная в 2013 г., касалась 900 млн активных Android-устройств.
Источник: CNews
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.