Gong zeigte die Schwachstelle auf einem aktuellen Google Nexus 6. Es handele sich dabei nicht, wie sonst oft üblich, um eine Verkettung mehrerer Lücken. “Viele Leute müssen heute mehrere Anfälligkeiten ausnutzen, um einen privilegierten Zugang zu erhalten und Software ohne Interaktion zu laden”, zitiert The Register Dragos Ruiu, den Organisator des Hackerwettbewerbs Pwn2Own Mobile, in dessen Rahmen Gong die Schwachstelle präsentierte.
“Sobald das Telefon auf die Website zugriff, wurde die Java-Script-V8-Anfälligkeit in Chrome benutzt, um eine beliebige App (in dem Fall ein Spiel) ohne jegliche Interaktion mit dem Nutzer zu installieren, was die vollständige Kontrolle über das Telefon demonstriert”, so Ruiu weiter. Da das Leck in der JavaScript-Engine stecke, sei mutmaßlich jedes Android-Gerät verwundbar.
Der Fehler wurde laut dem Bericht noch vor Ort von einem Google-Sicherheitsingenieur geprüft. Ruiu geht davon aus, dass Google eine Prämie an Gong zahlt, da der Einzelheiten zu der Anfälligkeit zurückgehalten hat.