Chrome su Android si buca con un click

Un ricercatore cinese dimostra l'esistenza di un baco di alto profilo sul browser Chrome, un problema che mette a rischio tutte le versioni dell'OS Android. Google ha già ricevuto i dettagli ed è al lavoro su un aggiornamento

Roma – Dall’evento MobilePwn2Own , nell’ambito della conferenza PacSec di Tokyo arriva un nuovo, pericoloso bug di sicurezza individuato nel browser Chrome sull’OS Android, un problema che a quanto pare coinvolge tutte le versioni del sistema operativo mobile di Google e rende i terminali vulnerabili ad attacchi particolarmente facili da condurre in porto.

Individuato da Guang Gong, ricercatore della società cinese Quihoo 360, il baco si trova all’interno dell’engine JavaScript V8: alla conferenza in terra nipponica, Gong ha dimostrato di poter compromettere la sicurezza di un gadget Android semplicemente visitando una pagina Web, aprendo un link malevolo e infine installando una nuova app sul terminale senza ulteriori interventi da parte dell’utente.

La nuova vulnerabilità viene considerata di pregio particolare rispetto al solito, visto che non è necessario programmare exploit multipli (in grado di sfruttare uno o più bug in serie) per bypassare in maniera completa le misure di sicurezza di Chrome e Android.

Data la natura sensibile del bug, alla dimostrazione è seguita l’iniziativa di Google che ha contattato il ricercatore cinese e sarebbe già al lavoro su una patch correttiva. Gong ha comunicato i dettagli del bug agli ingegneri di Mountain View, mentre nulla si sa in merito all’eventuale premio in denaro che la corporation assegnerà al ricercatore.

A ricevere ulteriore conferma è in ogni caso l’importanza di eventi come il MobilePwn2Own, contest ad altissimo contenuto tecnico la cui sopravvivenza è però stata minacciata dalle autorità statunitensi e dalla loro volontà di gestire i bug di sicurezza come armi soggette a vincoli di esportazione.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Zucchina Bollita scrive:
    mediocri come sempre
    E' sempre la stessa storia:Developers Developers Developers Developers Developers Developers Developers Developers Developers Developers Developers Developers...(monkey dance, la preferita dai developers scarsi)...in salsa clopen ricoperta da una croccante cialda di mer*a chiamata JS.Da quando c' è il padella la strategia non solo non è cambiata, ma è anche peggiorata.
    • collione scrive:
      Re: mediocri come sempre
      imho invece di prendere per i fondelli con javascript e compagnia, avrebbero dovuto portare .net su android/ios, o magari comprare Xamarin e renderlo gratuito per lo sviluppo multipiattaformaad oggi non esiste ancora una vera soluzione multipiattaforma per lo sviluppo mobile, che sia completa, affidabile al 100% e non costi uno spropositoforse ( e dico forse ) swift, che diventerà open tra pochi mesi, potrà fornire una soluzione multipiattaformafino ad allora o ci si affida ad unity et similia, oppure ( per le app generaliste ) si può optare per ruby con i vari ruboto e rubymotion
      • Zucca Vuota scrive:
        Re: mediocri come sempre
        Mi dispiace (e dico sul serio perché la cosa fa schifo anche a me) ma la risposta multipiattaforma è JavaScript (magari accompagnato da un framework e da Cordova). Bisogna purtroppo farsene una ragione. Quindi ben venga TypeScript. Almeno cerca di mettere ordine nella porcheria.
        • Zucchina Bollita scrive:
          Re: mediocri come sempre
          - Scritto da: Zucca Vuota
          Mi dispiace (e dico sul serio perché la cosa fa
          schifo anche a me) ma la risposta
          multipiattaforma è JavaScript (magari
          accompagnato da un framework e da Cordova).
          Bisogna purtroppo farsene una ragione.Opinione tua, opinione di un fanboy di microloft.


          Quindi ben venga TypeScript. Almeno cerca di
          mettere ordine nella
          porcheria.Mettere ordine vuol dire smetterla con l' esecuzione di spazzatura lato client, tutto il resto è solo il blabla di markettari alla ricerca di soldi da spillare con ogni mezzo.
          • tre punti e un leso scrive:
            Re: mediocri come sempre
            - Scritto da: Zucchina Bollita
            Mettere ordine vuol dire smetterla con l'
            esecuzione di spazzatura lato clientPretendi che i siti nel 2015 non facciano uso di JS? Hai anche qualche idea per la pace nel mondo?
          • Zucchina Bollita scrive:
            Re: mediocri come sempre
            - Scritto da: tre punti e un leso
            - Scritto da: Zucchina Bollita


            Mettere ordine vuol dire smetterla con l'

            esecuzione di spazzatura lato client

            Pretendi che i siti nel 2015 non facciano uso di
            JS?E' vero, non si può pretendere che un estraneo eviti di fare il padrone in casa TUA.

            Hai anche qualche idea per la pace nel mondo?Ma non ci penso minimamente, sei libero di farti incool8 come e quando vuoi se ci tieni tanto.
          • Zucchina al forno scrive:
            Re: mediocri come sempre
            - Scritto da: Zucchina Bollita

            Pretendi che i siti nel 2015 non facciano uso di

            JS?

            E' vero, non si può pretendere che un estraneo
            eviti di fare il padrone in casa TUA.A casa mia disabilito JS quando voglio.

            Hai anche qualche idea per la pace nel mondo?

            Ma non ci penso minimamentestrano perché la probabilità di sucXXXXX è la stessa dell'idea GENIALE che hai avuto sopra
          • Zucchina Bruciata scrive:
            Re: mediocri come sempre
            - Scritto da: Zucchina al forno
            - Scritto da: Zucchina Bollita



            Pretendi che i siti nel 2015 non
            facciano uso
            di


            JS?



            E' vero, non si può pretendere che un
            estraneo

            eviti di fare il padrone in casa TUA.


            A casa mia disabilito JS quando voglio.A casa mia è disabilitato di default, il contrario è da ingenuotti...




            Hai anche qualche idea per la pace nel
            mondo?



            Ma non ci penso minimamente

            strano perché la probabilità di sucXXXXX è la
            stessa dell'idea GENIALE che hai avuto
            sopraBlabla.
          • Passante scrive:
            Re: mediocri come sempre
            - Scritto da: Zucchina Bruciata
            - Scritto da: Zucchina al forno

            - Scritto da: Zucchina Bollita



            Pretendi che i siti nel 2015



            non facciano uso di JS?


            E' vero, non si può pretendere che un


            estraneo eviti di fare il padrone in casa


            TUA.

            A casa mia disabilito JS quando voglio.
            A casa mia è disabilitato di default, il
            contrario è da ingenuotti...Ma se tutti cel'habbiamo disabilitato allora che se ne fanno di JS i siti nel 2015 ?
          • 784074 scrive:
            Re: mediocri come sempre
            - Scritto da: Passante
            Ma se tutti cel'habbiamo disabilitato allora che
            se ne fanno di JS i siti nel 2015
            ?fattelo spiegare da quello che ha la ricetta per la pace nel mondROTFL
          • panda rossa scrive:
            Re: mediocri come sempre
            - Scritto da: Passante

            Ma se tutti cel'habbiamo disabilitato allora che
            se ne fanno di JS i siti nel 2015
            ?Qualcosa JS fa, ma per poter avere l'autorizzazione per farla, deve prima dimostrare che:1) sia utile se non addirittura necessario all'utente2) lo script deve risiedere sul server del sito e non altrove3) non deve lasciare traccia in locale, e men che meno in remotoA queste condizioni gli si concede di venire eseguito, altrimenti se ne fa tranquillamente a meno.
          • collione scrive:
            Re: mediocri come sempre
            ma bisognerebbe leggere i sorgenti di tutti gli script js che s'incontrano ( e sono davvero tanti )realisticamente non è possibile usufruire del web senza js al giorno d'oggie per chi è paranoico, le virtual machine sono state create apposta
          • Zucchina Bollita scrive:
            Re: mediocri come sempre
            Quindi tutto lo sforzo fatto per eseguire codice lato client è solo un esercizio di stile? Sicuro che non ci guadagnano con JS?
        • collione scrive:
          Re: mediocri come sempre
          oddio proprio farsene una ragione no, basta optare per QT, Rubymotion/Rhomobile, Kivy, per i giochi Unity, Cocos2d-x, Corona, ecc...insomma c'è abbastanza roba, tutta migliore di quella XXXXXta subperformante di js/phonegapse proprio si vuole rimanere fedeli a ms ( nessun professionista ragiona in termini di fedeltà o fede, tranne ruppolo ) si opta per xamarin e si paga la licenza salatina
  • noi borg scrive:
    questta e microsoft
    ingegneri coi controXXXXX come gamma e soci,tanti soldi disponibili e euna visione a lungo termine perseguita con pazienza, lascimo pure i pinguini in cantina a ricompilare il kernel per la millesima a volta a noi la WORLD DOMINATION
    • grayborg scrive:
      Re: questta e microsoft
      il problema non saranno i pinguini, ma i winari!Da quando esiste il mondo le mura dei castelli si abbattono dall'interno. Per abbattere qualcosa la devi conoscere bene. ;)
    • sveglion scrive:
      Re: questta e microsoft
      microsoft come e noto prende circa 10,15 da ogni device android venduto grazie a cause vinte per patents infringement
  • xx tt scrive:
    Il browser non è fatto per eseguire...
    è fatto per visualizzare. Perché il web è pieno di criminali e la tua libertà di eseguire quello che ti pare corrisponde alla giungla di virus che stiamo vivendo.Ormai il veicolo per i malware è sempre una pagina da aprire:Se non è l'sms con il link malevolo è la mail contraffatta con il link malevolo. Se non è il pdf con il link malevolo è la pubblicità su un sito che punta a un link malevolo.Sempre lì andiamo a parare: sempre a quella idea del ca**o di eseguire codice in un browser. La vogliamo finire? Vogliamo togliere qualsiasi possibilità di eseguire alcunché a tutti?Sarà possibile un giorno poter aprire una pagina senza dover avere anche l'antivirus?
    • Quotator Maximus scrive:
      Re: Il browser non è fatto per eseguire...
      - Scritto da: xx tt
      è fatto per visualizzare. Perché il web è pieno
      di criminali e la tua libertà di eseguire quello
      che ti pare corrisponde alla giungla di virus che
      stiamo
      vivendo.

      Ormai il veicolo per i malware è sempre una
      pagina da
      aprire:
      Se non è l'sms con il link malevolo è la mail
      contraffatta con il link malevolo.

      Se non è il pdf con il link malevolo è la
      pubblicità su un sito che punta a un link
      malevolo.

      Sempre lì andiamo a parare: sempre a quella idea
      del ca**o di eseguire codice in un browser. La
      vogliamo finire? Vogliamo togliere qualsiasi
      possibilità di eseguire alcunché a
      tutti?

      Sarà possibile un giorno poter aprire una pagina
      senza dover avere anche
      l'antivirus?Mega-quotone-galattico!
      • martin cllistere scrive:
        Re: Il browser non è fatto per eseguire...
        si basta che ti installi una sandbox
        • xx tt scrive:
          Re: Il browser non è fatto per eseguire...

          si basta che ti installi una sandboxQuesto deve avvenire dopo che ho scelto.Prima il browser di default legge le pagine passivamente, così com'è la sua natura fare.Quando e soprattutto SE glielo chiedo passa ad eseguire su una sandbox SUA.Hai presente la "finestra di navigazione anonima" del firefox?Ecco: una "finestra di navigazione con esecuzione", da richiamare appositamente. Con tanto di domanda se sono imbec....ehm...sicuro.
        • ... scrive:
          Re: Il browser non è fatto per eseguire...
          - Scritto da: martin cllistere
          si basta che ti installi una sandboxdalla quale si "evade" tranquillamente.Per essere moderatamente sicuri, serve una macchina virtuale con dentro Sistema Operativo e navigatore internet.La macchina vera la usi per lavorare il locale, quella virtuale per navigare in internet.
    • povero me scrive:
      Re: Il browser non è fatto per eseguire...
      - Scritto da: xx tt
      è fatto per visualizzare. Perché il web è pieno
      di criminali e la tua libertà di eseguire quello
      che ti pare corrisponde alla giungla di virus che
      stiamo
      vivendo.

      Ormai il veicolo per i malware è sempre una
      pagina da
      aprire:
      Se non è l'sms con il link malevolo è la mail
      contraffatta con il link malevolo.

      Se non è il pdf con il link malevolo è la
      pubblicità su un sito che punta a un link
      malevolo.

      Sempre lì andiamo a parare: sempre a quella idea
      del ca**o di eseguire codice in un browser. La
      vogliamo finire? Vogliamo togliere qualsiasi
      possibilità di eseguire alcunché a
      tutti?

      Sarà possibile un giorno poter aprire una pagina
      senza dover avere anche
      l'antivirus?A quanto leggo, no! Almeno finché in giro ci sono persone che la pensano come il gamma.Anzi a dire il vero, può solo che peggiorare la situazione. 8-)
      • xx tt scrive:
        Re: Il browser non è fatto per eseguire...

        A quanto leggo, no! Almeno finché in giro ci sono
        persone che la pensano come il
        gamma.
        Anzi a dire il vero, può solo che peggiorare la
        situazione.
        8-)Allora speriamo che qualcuno lanci una nuova moda: l'iBrowser. "Un innovativo software nato per essere leggero che fa della security by passivity il suo pilastro. Il nuovo attesissimo browser ci libererà dai link malevoli con una coraggiosa scelta di design.Passivo = sicuro di default, ecco il nuovo motto a Cupertino"
  • nessuno scrive:
    typescript
    davvero un linguaggio interessante, megagalattico, compilando non viene generato codice binario ma codice che deve essere a sua volta interpretato. Mah...
    • pentola scrive:
      Re: typescript
      - Scritto da: nessuno
      davvero un linguaggio interessante,
      megagalattico, compilando non viene generato
      codice binario ma codice che deve essere a sua
      volta interpretato.
      Mah...Caspita... mai usato ma a sentirne il principio, accidenti questa sì che è... una monnezza! (rotfl)
      • Zucca Vuota scrive:
        Re: typescript
        - Scritto da: pentola
        Caspita... mai usato ma a sentirne il principio,
        accidenti questa sì che è...
        una monnezza! (rotfl)Perchè? Spiega meglio il tuo pensiero.
        • pentola scrive:
          Re: typescript
          - Scritto da: Zucca Vuota
          - Scritto da: pentola


          Caspita... mai usato ma a sentirne il
          principio,

          accidenti questa sì che è...

          una monnezza! (rotfl)

          Perchè? Spiega meglio il tuo pensiero.No!
          • Zucca Vuota scrive:
            Re: typescript
            Un altro che non sa di che parla.
          • pentola scrive:
            Re: typescript
            - Scritto da: Zucca Vuota
            Un altro che non sa di che parla.Tu sei il re della categoria.
          • Zucca Vuota scrive:
            Re: typescript
            - Scritto da: pentola
            Tu sei il re della categoria.Dove ho parlato di cose che non conosco?
          • tre punti e un leso scrive:
            Re: typescript
            - Scritto da: pentola
            - Scritto da: Zucca Vuota

            Un altro che non sa di che parla.

            Tu sei il re della categoria.questa volta invece l'ha detta giusta, ma le merde che vogliono essere contrarie a Microsoft a tutti i costi non lo vogliono ammettere, perché appunto SONO DELLE MERDE UMANE
          • Zucchina Contraffat ta scrive:
            Re: typescript
            A zucchì smettila.
    • Zucca Vuota scrive:
      Re: typescript
      - Scritto da: nessuno
      davvero un linguaggio interessante,
      megagalattico, compilando non viene generato
      codice binario ma codice che deve essere a sua
      volta interpretato.
      Mah...Vedi il JavaScript come le istruzioni del tuo proXXXXXre. In pratica un proXXXXXre virtuale che gira ovunque. TypeScript compila in JavaScript e produce un codice per tutti questi proXXXXXri virtuali.Quello che l'articolo non evidenzia è il fatto che il codice JavaScript è comunque codice TypeScript ovvero può essere inserito nel codice TypeScript senza problemi. In altri termini si può vedere TypeScript come una sorta di estensione di JavaScript. TypeScript cerca di proporre anche molte delle evoluzioni che stanno incubando per le nuove versioni standard di JavaScript (ECMAScript). Quindi prima o poi troveremo queste cose standard nei browser.TypeScript non è usato solo da Microsoft ma anche da gruppi esterni per vari progetti (ad esempio Angular2, Dojo Toolkit).
    • Fessologo scrive:
      Re: typescript
      - Scritto da: nessuno
      davvero un linguaggio interessante,
      megagalattico, compilando non viene generato
      codice binario ma codice che deve essere a sua
      volta interpretato.
      Mah...genio, deve generare necessariamente Javascript visto che i browser interpretano quello e non i binari.Lo scopo è usare, in fase di sviluppo, un linguaggio che sia scalabile a progetti complessi, caratteristica per cui Javascript non è nato.Per inciso Google internamente fa lo stesso da un decennio: usa Java per lo sviluppo lato client e poi un loro strumento si occupa di convertire in Javascript (ed offuscare).
      • ... scrive:
        Re: typescript
        - Scritto da: Fessologo
        Per inciso Google internamente fa lo stesso da un
        decennio: usa Java per lo sviluppo lato client e
        poi un loro strumento si occupa di convertire in
        Javascript (ed
        offuscare).Ma che XXXXX dici? LOL! Java convertito in JavaScript, ma che XXXXXte vai raccontando?
        • tre punti e un leso scrive:
          Re: typescript
          - Scritto da: ...
          - Scritto da: Fessologo
          Ma che XXXXX dici? LOL! Java convertito in
          JavaScript, ma che XXXXXte vai
          raccontando?sXXXXXta in arrivo:https://support.google.com/code/topic/10034?hl=en"Google Web Toolkit (GWT) is an open source Java software development framework that makes writing AJAX applications easy. With GWT, <b
          you can develop and debug AJAX applications in the Java language using the Java development tools of your choice. When you deploy your application to production, the GWT compiler translates your Java application to browser-compliant JavaScript and HTML </b
          ." <b
          non mangiare troppa XXXXX che ti fa male! </b
    • capitan farlock scrive:
      Re: typescript
      lo sai chi ha inventato il linguaggio typescript?un certo Aders Hejlsberg, forse a te non dice nientema questo genio ha prima creato il compilatore TurboPascal per la Borland e poi in microsoft ha inventato il typescript e pure il linguaggio c#..al suo cospetto possiamo solo inginocchiarci sui ceci caro mio ( e mi ci metto pure io dentro)eheh caro miio c'e chi puo fare e quindi fa , e chi non puo??parla, parla parla e scrive scrive scrive...
    • ... scrive:
      Re: typescript
      javascript non viene più interpretato da un bel po' di anni(almeno nei maggiori browser). tutti usano un compilatore JIT
Chiudi i commenti