Bezpečnostní odborník Guang Gong objevil v nejnovější verzi internetového prohlížeče Google Chrome díru, která dělá zranitelným miliony mobilních telefonů a tabletů s operačním systémem Android. Jediné co útočníci potřebují je, abyste navštívili stránku s nebezpečným kódem.

Zero day exploit zneužívá chybu v JavaScript v8 engine, který je předinstalovaný na většině přístrojů s operačním systémem Android. Pro infikování přístroje malware se musíte podívat na stránku v prohlížeči Chrome, která obsahuje nebezpečný kód. Není potřeba na nic klikat ani uživatel není jakkoliv upozorněn na hrozící nebezpečí. Pokud jsou tyto podmínky splněny, tak může dojít k napadení přístroje. Útočník získá úplnou kontrolu nad zařízením. Obranou prozatím je dát přednost jinému prohlížeči, než Google chybu opraví. Patch bude rozdistribuován prostřednictvím Play Store, nebude tedy třeba aktualizovat samotný operační systém.

Ačkoliv nejsou známé žádné detaily Guang Gong chybu demonstroval na konferenci PacSec, v rámci soutěže MobilePwn2Own, která se konala tento rok v Tokyu. Předvedl jej na mobilním telefonu Nexus 6 pravděpodobně s operačním systémem Android 6.0 Marshmallow. Google byl o chybě informován a obdržel všechny potřebné údaje. Guang Gong se tak může těšit na tučnou odměnu od Google za odhalení chyby v rámci programu bug bounty. Prozatím mu byla od Google přislíbená placená účast na konferenci CanSecWest Applied Security Conference, společně lyžarským výletem. Rozhodně je to hezké gesto 🙂

Guang Gong pracovatl na objevení a možném praktickém zneužití chyby tři měsíce, než jí oficiálně představil na konferenci PacSec.

Zdroj: http://thehackernews.com/2015/11/android-hacking-chrome.html