A Tokióban megrendezett PacSec biztonsági konferencia MobilePwn2Own versenye szokatlanul kellemetlen meglepetést tartogatott a Google Chrome böngésző androidos verzióját fejlesztő csapatnak. A Guang Gong biztonsági kutató által felfedezett sérülékenységet kihasználva a támadónak csak egy linket kell küldeni a leendő áldozatnak, aki a preparált weblapot megnyitva egy engedélye és tudomása nélkül a mobiljára vagy táblagépére telepített alkalmazással lesz gazdagabb.
A sérülékenység a Chrome böngésző JavaScript-motorjában található. Gong konkrétan egy Nexus 6 mobilon demonstrálta a kódját, azonban elméletileg bármely androidos készülék támadható vele. A részletek nem ismertek, a kutató átadta a Google számára a leírást, így hamarosan megérkezhet majd a hibát kijavító foltozás.
A mutatványért cserébe Guang Gong jövőre ingyen részt vehet a neves CanSecWest biztonsági konferencián, plusz a Google minden bizonnyal kifizet számára egy zsírosabb összeget a Chrome hibajutalmazó programján keresztül.
(Forrás: 9to5Google | Nyitókép: Kārlis Dambrāns)
