Взлом любого Android-смартфона одной ссылкой!

16.11.2015 18:27

androidВ браузере Google Chrome обнаружена фатальная уязвимость, позволяющая взломать и получить контроль над любым Android-устройством, — об этом доложил на конференции PacSec в Токио Гуан Гун (Guang Gong) из компании Quihoo 360. С целью демонстрации уязвимости он написал эксплойт, устанавливающий на устройство безобидное приложение (игру BMX Bike) без ведома пользователя. За обнаружение уязвимости исследователь был поощрен компанией Google бесплатным участием в конференции CanSecWest 2016 г., и, возможно, получит денежное вознаграждение.

Как правило, чтобы получить контроль над устройством взломщикам приходится эксплуатировать несколько брешей в системе, данная же уязвимость уникальна тем, что для взлома достаточно только ее одной. По понятным причинам Гуан Гун не стал раскрывать полной информации о находке, однако известно, что проблема обнаружена в JavaScript-компоненте движка V8 в Google Chrome.

Google-Nexus-5Свою программу для атаки Гун создавал 4 месяца и продемонстрировал ее возможности, взломав смартфон Nexus 5 от Google, так как устройства Nexus первыми получают обновления системы Android. При желании подобный эксплойт можно написать для атаки любого другого устройства на Android.

«Как только пользователь открывает зараженный веб-сайт, посредством «дыры» в V8 в браузере Chrome выполняется установка произвольного приложения на смартфон, без каких-либо действий со стороны пользователя», —

пояснил особенности уязвимости изданию Vulture South организатор конференции PacSec Драгош Руйу (Dragos Ruiu).

Надо отметить, это не первый случай обнаружения масштабной бреши в системе безопасности Android. Так, летом 2015 г. компания Zimperium предоставила информацию об уязвимости, которая позволяла выполнить произвольный код на 950 млн Android-смартфонов, а уязвимость, обнаруженная в 2013 г., затрагивала 900 млн активных Android-устройств.

Метки:

Trackback на ваш сайт.

Оставить комментарий