Der chinesische Sicherheitsexperte Guang Gong, Mitarbeiter von Quihoo 360, hat auf der Sicherheitskonferenz PacSec in Tokio eine Zero-Day-Lücke in Chrome für Android vorgestellt. Seinen Angaben zufolge betrifft sie sämtliche Android-Versionen, auf denen die neueste Chrome-Version ausgeführt wird. Ausnutzen lässt sich die Schwachstelle mithilfe präparierter Websites. Über sie ist es laut The Register so möglich, Schadsoftware zu installieren.
Gong zeigte die Schwachstelle auf einem aktuellen Google Nexus 6. Es handele sich dabei nicht, wie sonst oft üblich, um eine Verkettung mehrerer Lücken. “Viele Leute müssen heute mehrere Anfälligkeiten ausnutzen, um einen privilegierten Zugang zu erhalten und Software ohne Interaktion zu laden”, zitiert The Register Dragos Ruiu, den Organisator des Hackerwettbewerbs Pwn2Own Mobile, in dessen Rahmen Gong die Schwachstelle präsentierte.
“Sobald das Telefon auf die Website zugriff, wurde die Java-Script-V8-Anfälligkeit in Chrome benutzt, um eine beliebige App (in dem Fall ein Spiel) ohne jegliche Interaktion mit dem Nutzer zu installieren, was die vollständige Kontrolle über das Telefon demonstriert”, so Ruiu weiter. Da das Leck in der JavaScript-Engine stecke, sei mutmaßlich jedes Android-Gerät verwundbar.
Der Fehler wurde laut dem Bericht noch vor Ort von einem Google-Sicherheitsingenieur geprüft. Ruiu geht davon aus, dass Google eine Prämie an Gong zahlt, da der Einzelheiten zu der Anfälligkeit zurückgehalten hat.
Gong zeigte die Schwachstelle auf einem aktuellen Google Nexus 6. Es handele sich dabei nicht, wie sonst oft üblich, um eine Verkettung mehrerer Lücken. “Viele Leute müssen heute mehrere Anfälligkeiten ausnutzen, um einen privilegierten Zugang zu erhalten und Software ohne Interaktion zu laden”, zitiert The Register Dragos Ruiu, den Organisator des Hackerwettbewerbs Pwn2Own Mobile, in dessen Rahmen Gong die Schwachstelle präsentierte.
“Sobald das Telefon auf die Website zugriff, wurde die Java-Script-V8-Anfälligkeit in Chrome benutzt, um eine beliebige App (in dem Fall ein Spiel) ohne jegliche Interaktion mit dem Nutzer zu installieren, was die vollständige Kontrolle über das Telefon demonstriert”, so Ruiu weiter. Da das Leck in der JavaScript-Engine stecke, sei mutmaßlich jedes Android-Gerät verwundbar.
Der Fehler wurde laut dem Bericht noch vor Ort von einem Google-Sicherheitsingenieur geprüft. Ruiu geht davon aus, dass Google eine Prämie an Gong zahlt, da der Einzelheiten zu der Anfälligkeit zurückgehalten hat.
