Un ricercatore autonomo, esperto di sicurezza, ha appena documentato – fortunatamente senza scendere troppo nei particolari – una vulnerabilità presente nel motore JavaScript V8 di Google Chrome.
Persuadendo l’utente a visitare con Chrome, dal suo dispositivo Android, un link malevolo, un aggressore potrebbe essere in grado di prendere pieno controllo, da remoto, dello smartphone o del tablet.
Durante l’evento MobilePwn2Own tenutosi a Tokyo a corollario della conferenza PacSec, il ricercatore ha dimostrato di riuscire ad installare un’app Android da remoto semplicemente inducendo l’utente a visitare una pagina contenente il codice exploit.
L’installazione dell’app scelta arbitrariamente dal ricercatore non richiederebbe alcuna interazione da parte dell’utente e può funzionare su qualunque dispositivo Android dal momento che, in questo caso, è il motore JavaScript V8 del browser Chrome ad essere preso di mira.
Uno degli ingegneri di Google, presente alla manifestazione in terra nipponica, ha preso nota della scoperta.
Gli organizzatori dell’evento hanno osservato come, molto probabilmente, Google verserà un premio in denaro a Guang Gong (questo il nome del ricercatore in forze presso la cinese Quihoo 360). La lacuna di sicurezza, infatti, è stata documentata in modo assolutamente responsabile, senza rivelare quei dettagli tecnici che potrebbero essere sfruttati dai criminali informatici di mezzo mondo.
Guang Gong ha confermato che la vulnerabilità da lui scoperta in circa tre mesi di lavoro affliggerebbe l’ultima versione di Chrome su qualunque versione di Android, comprese quindi le più recenti.