Chrome su Android si buca con un click

Un ricercatore cinese dimostra l'esistenza di un baco di alto profilo sul browser Chrome, un problema che mette a rischio tutte le versioni dell'OS Android. Google ha già ricevuto i dettagli ed è al lavoro su un aggiornamento
Un ricercatore cinese dimostra l'esistenza di un baco di alto profilo sul browser Chrome, un problema che mette a rischio tutte le versioni dell'OS Android. Google ha già ricevuto i dettagli ed è al lavoro su un aggiornamento

Dall’evento MobilePwn2Own , nell’ambito della conferenza PacSec di Tokyo arriva un nuovo, pericoloso bug di sicurezza individuato nel browser Chrome sull’OS Android, un problema che a quanto pare coinvolge tutte le versioni del sistema operativo mobile di Google e rende i terminali vulnerabili ad attacchi particolarmente facili da condurre in porto.

Individuato da Guang Gong, ricercatore della società cinese Quihoo 360, il baco si trova all’interno dell’engine JavaScript V8: alla conferenza in terra nipponica, Gong ha dimostrato di poter compromettere la sicurezza di un gadget Android semplicemente visitando una pagina Web, aprendo un link malevolo e infine installando una nuova app sul terminale senza ulteriori interventi da parte dell’utente.

La nuova vulnerabilità viene considerata di pregio particolare rispetto al solito, visto che non è necessario programmare exploit multipli (in grado di sfruttare uno o più bug in serie) per bypassare in maniera completa le misure di sicurezza di Chrome e Android.

Data la natura sensibile del bug, alla dimostrazione è seguita l’iniziativa di Google che ha contattato il ricercatore cinese e sarebbe già al lavoro su una patch correttiva. Gong ha comunicato i dettagli del bug agli ingegneri di Mountain View, mentre nulla si sa in merito all’eventuale premio in denaro che la corporation assegnerà al ricercatore.

A ricevere ulteriore conferma è in ogni caso l’importanza di eventi come il MobilePwn2Own, contest ad altissimo contenuto tecnico la cui sopravvivenza è però stata minacciata dalle autorità statunitensi e dalla loro volontà di gestire i bug di sicurezza come armi soggette a vincoli di esportazione. 

Link copiato negli appunti

Ti potrebbe interessare

13 11 2015
Link copiato negli appunti