Rambler's Top100
Все новости Новости отрасли

Любой Android-смартфон можно захватить одной гиперссылкой

16 ноября 2015

Уязвимость браузере Google Chrome позволяет получить контроль над любым Android-устройством. Обнаруживший ее исследователь написал эксплойт, который в качестве демонстрации устанавливает на смартфон приложение-игру без ведома и разрешения пользователя. 

Веб-браузер Google Chrome содержит уязвимость, которая позволяет взломать любой Android-смартфон и получить контроль над ним. Об этом на мероприятии MobilePwn2Own в рамках конференции PacSec в Токио рассказал исследователь Гуан Гун (Guang Gong) из компании Quihoo 360.

Гун сообщил подробности корпорации Google и уже был награжден за это бесплатной поездкой на конференцию CanSecWest в 2016 г. Он также может получить денежное вознаграждение.

Уязвимость находится в компоненте JavaScript-движке V8 в Google Chrome. Других подробностей Гун об уязвимости не стал раскрывать. Но отмечается особенность его находки: для того чтобы взломать Android-смартфон, достаточно лишь этой одной  уязвимости. Это редкий случай, так как обычно хакерам приходится эксплуатировать несколько уязвимостей для проведения одной атаки, подчеркнул исследователь.

На мероприятии в Токио исследователь продемонстрировал уязвимость на смартфоне Nexus 5. Это аппарат Google предыдущего поколения. Устройства Nexus первыми получают обновления системы Android, в том числе обновления безопасности. По словам Гуна, на разработку эксплойта у него ушло четыре месяца.

 «Как только пользователь открывает зараженный веб-сайт, посредством «дыры» в V8 в браузере Chrome выполняется установка произвольного приложения на смартфон, без каких-либо действий со стороны пользователя», — рассказал изданию Vulture South организатор PacSec Драгош Руйу (Dragos Ruiu). Он добавил, что Гун в качестве произвольного приложения выбрал безобидную игру BMX Bike. 

Руйу добавил, что организаторы мероприятия проверили работоспособность эксплойта на конкретном смартфоне. По его словам, при желании эксплойт можно разработать для любого Android-смартфона, так как уязвимость содержится в компоненте Google Chrome.

Брешь в движке V8 — последний, но далеко не единственной пример уязвимости, затрагивающей большинство пользователей Android-устройств. В конце июля 2015 г. компания Zimperium сообщила об обнаружении уязвимости, позволяющей выполнить произвольный код, в 950 млн Android-смартфонах. Другая уязвимость, обнаруженная в 2013 г., касалась 900 млн активных Android-устройств.

 


 

Источник: CNews

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.