Vulnerabilidad de Chrome compromete la seguridad de Android

Share this…

Guang Gong, investigador de Quihoo 360, ha descubierto un exploit en Chrome que podría destruir la mayoría de dispositivos Android. Basta con que la víctima visite una web infectada y ésta aproveche la vulnerabilidad del software de Google para acabar con su smartphone.

Este investigador invirtió tres meses estudiando el origen del exploit. Descubrió que funciona a partir de una vulnerabilidad en JavaScript v8, así consigue el acceso como administrador al móvil de la víctima. Este mecanismo, según su descubridor, resulta aterrador por su suavidad y eficacia.

El aspecto más preocupante de este exploit es su sencillez. No se trata de una cadena compleja de elementos sino de una sola brecha. Guang Gong usó un Nexus 6 para visitar una direcciónweb que ejecutaba el código malicioso y bastó con descargar un juego de BMX en el dispositivo. “Tan pronto accedí con el teléfono a la página web, esta vulnerabilidad de JavaScript v8 instaló una aplicación arbitraria sin ningún tipo de interacción con el usuario”.

 482411440

Los resultados del estudio fueron expuestos en la MobilePwn2Own, durante la conferencia de PacSec en Tokio. “Lo impresionante del exploit es que funciona de un solo golpe, la mayoría de exploits tienen que aprovechar varias vulnerabilidades para obtener acceso privilegiado e instalar software sin interacción” dijo Dragos Ruiu, organizador del PacSec.

Poco después de que este investigador de la empresa de seguridad informática Quihoo 360 mostrase sus resultados, un equipo alemán afirmó haber sido capaz de reproducir el exploit en un dispositivo Samsung. Al aprovecharse del motor JavaScript, esta vulnerabilidad afecta a todos los dispositivos Android.

Google estudiará los resultados obtenidos por Gong aunque, por el momento, este investigador podría ser recompensado por el hallazgo. Mountain View remunera entre 10.000$ y 15.000$ por un informe de seguridad de calidad, sin embargo, un descubrimiento como este podría ser incluso mejor retribuido.

Fuente:https://computerhoy.com/