Guang Gong i njegovi kolege hakeri iz grupe Quihoo 360, ovih su dana na panel diskusiji PSN2OWN u okviru PacSec konferencije u Tokiju, demonstrirali kritični exploit u Chrome pregledaču za Android telefone i tablete, koji je u stanju kompromitovati gotovo svaku verziju Android-a koji koristi najnoviju verziju Chrome-a.
Mada istraživači iz razumljivih razloga ne žele objaviti sve detalje o funkcionisanju ovog buga, jer su obavestili Google i dali mu neko vrijeme da zakrpi rupu, rekli su da se radi o iskorišćavanju JavaScripta v8 preko kojeg se dobija puni administrativni pristup u telefon žrtve.
Organizator PacSec konferencije Dragos Ruiu, izjavio je da je najimpresivnija funkcija Guang-ovog exploita u tome što bug u samo jednom “šutu” razvaljuje zaštitu telefona, za razliku od drugih koji zahtijevaju iskorišćavanje više exploita da bi dobili privilegirani pristup i uploadovali svoj maliciozni softver bez interakcije samog korisnika.
“Čim telefon pristupi web stranici, ranjivost u JavaScript-u v8 u Chrome-u se koristi za instaliranje željene aplikacije bez interakcije korisnika”, kaže Ruiu. Guang je na konferenciji demonstrirao instalaciju BMX Bike igre bez ikakve akcije korisnika, čime je ukazao na jednostavnost kojom se zahvaljujući spomenutom bugu može preuzeti kontrola nad telefonom.
Naravno, u stvarnom životu vam nitko neće instalirati video igre na telefon, već će se raditi o znatno opasnijim stvarima.
(NN/itvesti.info)
Pratite nas na našoj Facebook i Instagram stranici, kao i na X nalogu.