Une vulnérabilité Google Chrome expose des millions de smartphones Android

1
73

Voici une vulnérabilité qui peut permettre aux cybercriminels de pirater votre smartphone Android et d’en prendre le contrôle total à distance total, même si votre appareil et ses applications sont à jour. La faute à Google Chrome !

Le chercheur en sécurité Guang Gong de la société Quihoo 360 a récemment découvert une vulnérabilité critique zero-day dans la dernière version du navigateur Google Chrome pour Android, permettant à un attaquant d’obtenir un accès root complet sur le téléphone de la victime et fonctionne potentiellement avec toutes les versions de l’OS Android. L’exploit utilise une vulnérabilité au sein de “JavaScript V8 Engine“, qui est pré-installé sur pratiquement l’ensemble de tous les appareils Android récents.

Des millions d’appareils à risque

Il suffit à l’attaquant d’inciter ses victimes à visiter un site Web malveillant qui contient le code d’exploitation dédié au navigateur Chrome. Une fois que la victime ciblée a accédé au site piégé, la vulnérabilité au sein du navigateur est exploitée pour installer une application malveillante, sans interaction avec l’utilisateur, ce qui permet aux pirates d’avoir le contrôle total distant de l’appareil de la victime.

Cet exploit zero-day pour Chrome dans sa version Android a été pratiquement démontrée par l’expert en sécurité Gong au cours du concours de hacking éthique MobilePwn2Own lors de la conférence PacSec 2015 de Tokyo. Les détails techniques complets sur l’exploitation ne sont pas encore disponibles, mais le chercheur a déjà alerté Google pour la faille critique, et la société devrait lui payer une importante prime de rapport bug pour l’exploit.

« Ce qui est impressionnant avec l’exploit de Guang, c’est qu’il s’agit d’un one-shot. Dans la plupart des cas aujourd’hui, les hackers sont obligés d’exploiter plusieurs failles d’affilée pour obtenir un accès privilégié et installer des logiciels en douce », explique Dragos Rui, l’organisateur du concours MobilePwn2Own, à The Register.

Pour être certain de rester en sécurité d’ici là, les utilisateurs d’Android sont invités à utiliser des navigateurs alternatifs jusqu’à ce que Google corrige la vulnérabilité en question.

Les commentaires sont fermés.