Доступ к системе Android-смартфонов можно получить через уязвимость в Google Chrome

В браузере Google Chrome обнаружена уязвимость, которая открывает доступ ко взлому любого смартфона с ОС Android и последующее получение полного контроля над устройством. Названную брешь в защите обнаружил Гуан Гун, сотрудник компании Quihoo 360, и поделился своими наблюдениями с общественностью во время конференции PacSec, проходящей в Токио. Обнародование результатов исследования может принести их создателю денежное вознаграждение.

Проблема локализируется в jаvascript. О других подробностях программной реализации взлома Гун умалчивает. Он добавляет, что для взлома Android-смартфона достаточно этой одной бреши. Гун подчеркнул, что обычная практика взлома смартфона подразумевает проникновение в систему через несколько уязвимых путей.

Возможности уязвимости были продемонстрированы исследователем на модели Nexus 5, которая представляет собой Google-устройство предыдущего поколения. Данные смартфоны входят в число тех Android-устройств, у которых система обновляется первой, в том числе и система безопасности. Гун отметил, что разработкой эксплойта он занимался на протяжение четырех месяцев. Он обозначил, что при открытии зараженного веб-ресурса, через уязвимость V8 в браузере Chrome начинается автоматическая установка зловредного приложения на смартфон пользователя. Для проверки данного алгоритма заражения Гун выбрал обычную игру – BMX Bike, которая загрузилась на смартфон без каких-либо манипуляций со стороны владельца.

На конференции теория подверглась проверке и было доказано, что обнаруженная уязвимость поражает Android-устройства. Добавляется, что эксплойт можно создать для любой модели с ОС Android, поскольку уязвимость находится в структуре Google Chrome.

Уязвимость V8 является последней из обнаруженных, но она не единственная – в июле 2015 года в Android-смартфонах нашли брешь, через которую можно запускать выполнение произвольного кода.