13/11/2015 di Redazione

Scacco matto ad Android grazie a Chrome e Javascript v8

Un ricercatore cinese ha scoperto una vulnerabilità nel browser e nel motore open source sviluppato da Google, che potrebbe colpire tutte le versioni del sistema operativo del robottino verde. Una falla seria, perché capace di attivarsi con un solo passag

immagine.jpg

Con una sola mossa anche l’ultimo e più avanzato degli smartphone Android potrebbe diventare una bomba a orologeria, pronta a “esplodere” nelle mani del suo proprietario. La nuova vulnerabilità del sistema operativo del robottino verde è stata svelata alla conferenza Pacsec di Tokyo da Guang Gong, ricercatore presso la società Quihoo 360. Il bug sfrutta il browser Chrome e una falla insita nel motore JavaScript v8 per installarsi sul cellulare e ottenere i privilegi amministrativi completi del dispositivo. Purtroppo (o per fortuna) non si conoscono maggiori dettagli sulla vulnerabilità, in quanto durante la sua presentazione Gong non ha voluto approfondire la questione. Al momento, l’unica certezza è che il baco non richiede una complicata catena di passaggi per attivarsi, ma riuscirebbe a raggiungere il suo scopo in un singolo passaggio, effettuando l’exploit tramite siti maligni.

La presenza della falla in Chrome e nel motore Javascript v8 (sviluppato da Big G) sarebbe stata dimostrata durante il Pacsec utilizzando uno smartphone Nexus 6. “La cosa impressionante è che l’exploit avviene in un colpo solo”, ha spiegato a Vulture South l’organizzatore dell’incontro, Dragos Ruiu. “Al giorno d’oggi è solitamente necessario sfruttare molte vulnerabilità per ottenere i privilegi necessari a installare software senza farsi notare dall’utente. Nel momento in cui il browser visita il sito compromesso, il bug di Javascript v8 viene utilizzata per installare un’applicazione casuale, in questo caso un gioco di Bmx, senza nessuna interazione necessaria da parte dell’utente”.

E Google come l’ha presa? Al momento non ci sono dichiarazioni ufficiali, ma è molto probabile che il colosso di Mountain View deciderà di pagare profumatamente lo scopritore della vulnerabilità in caso non dovesse risolverla con il proprio team interno. Secondo Gong, il baco sarebbe presente in tutte le versioni di Android che ospitano l’ultimo aggiornamento disponibile di Chrome. Dalla conferenza Pacsec sono inoltre arrivate cattive notizie riguardanti i dispositivi Samsung Galaxy S6, S6 Edge e Note 4.

 

La vulnerabilità è stata dimostrata utilizzando uno smartphone Nexus 6

 

Secondo i ricercatori Daniel Komaromy e Nico Golde le telefonate effettuate con questi device potrebbero essere intercettate sfruttando stazioni radio base appositamente “corrotte”, che riuscirebbero a estorcere le informazioni dai chip wireless della famiglia “Shannon” implementati nei dispositivi della casa sudcoreana. Si tratta, da quanto si è potuto apprendere, di un classico attacco di tipo man-in-the-middle che utilizza access point Openbts per agganciare smartphone e phablet reindirizzando le conversazioni verso la stazione radio contraffatta.

 

ARTICOLI CORRELATI