Une importante faille de type zéro-day a été découverte dans le navigateur Chrome pour Android. Celle-ci permettrait d’installer à distance des apps sur le smartphone des victimes.
Un chercheur chinois a découvert une faille qui permet aux pirates de détourner les appareils mobiles sous Android via le navigateur Chrome, ce qui rendrait ainsi vulnérables des millions d’appareils à travers le monde.
Lors de la conférence PacSec, qui se tenait à Tokyo ce mois-ci, Guang Gong, un chercheur en sécurité de la société Qihoo 360, a démontré comment la faille zero-day pouvait être exploitée afin de prendre le contrôle d’un appareil Android, même si celui-ci est complètement à jour.
L’expert en sécurité a profité d’une faille présente dans V8, le moteur d’exécution Javascript, via le navigateur Chrome, pour détourner un Nexus 6 tournant sous Android 6.0 Marshmallow. Dragos Ruiu, organisateur de la conférence, a écrit dans un post Google+ que le chercheur a pu détourner l’appareil qui non seulement avait le dernier OS d’installé, mais également toutes les applications mises à jour. Il s’est ensuite rendu vers une page web programmée pour exploiter la vulnérabilité de V8, d’où il pouvait installer une application sans le consentement de l’utilisateur.
Dragos Ruiu a qualifié l’attaque de « one-shot exploit» car elle se réalise d’une traite. « La plupart des gens aujourd’hui doivent exploiter plusieurs failles de sécurité pour obtenir un accès avec privilège et charger des applications sans interactions », ajoute-t-il. Un problème sensible pour la sécurité des utilisateurs car cela suggère aussi que des millions d’appareils fonctionnant sous le moteur Javascript pourraient être des cibles potentielles.
Le point positif à retenir est que Guang Gong n’a pas révélé en détails le mode opératoire, ce qui permet à Google de corriger la faille pour que celle-ci ne soit jamais exploitée par des pirates.
