Alfonso Maruccia

Chrome su Android si buca con un click

Un ricercatore cinese dimostra l'esistenza di un baco di alto profilo sul browser Chrome, un problema che mette a rischio tutte le versioni dell'OS Android. Google ha già ricevuto i dettagli ed è al lavoro su un aggiornamento

Roma - Dall'evento MobilePwn2Own, nell'ambito della conferenza PacSec di Tokyo arriva un nuovo, pericoloso bug di sicurezza individuato nel browser Chrome sull'OS Android, un problema che a quanto pare coinvolge tutte le versioni del sistema operativo mobile di Google e rende i terminali vulnerabili ad attacchi particolarmente facili da condurre in porto.

Individuato da Guang Gong, ricercatore della società cinese Quihoo 360, il baco si trova all'interno dell'engine JavaScript V8: alla conferenza in terra nipponica, Gong ha dimostrato di poter compromettere la sicurezza di un gadget Android semplicemente visitando una pagina Web, aprendo un link malevolo e infine installando una nuova app sul terminale senza ulteriori interventi da parte dell'utente.

La nuova vulnerabilità viene considerata di pregio particolare rispetto al solito, visto che non è necessario programmare exploit multipli (in grado di sfruttare uno o più bug in serie) per bypassare in maniera completa le misure di sicurezza di Chrome e Android.
Data la natura sensibile del bug, alla dimostrazione è seguita l'iniziativa di Google che ha contattato il ricercatore cinese e sarebbe già al lavoro su una patch correttiva. Gong ha comunicato i dettagli del bug agli ingegneri di Mountain View, mentre nulla si sa in merito all'eventuale premio in denaro che la corporation assegnerà al ricercatore.

A ricevere ulteriore conferma è in ogni caso l'importanza di eventi come il MobilePwn2Own, contest ad altissimo contenuto tecnico la cui sopravvivenza è però stata minacciata dalle autorità statunitensi e dalla loro volontà di gestire i bug di sicurezza come armi soggette a vincoli di esportazione.

Alfonso Maruccia
Notizie collegate
  • SicurezzaPwn2Own, attentato alla cybersicurezza?HP revoca al proprio supporto all'edizione giapponese della manifestazione che premia i ricercatori più abili nello sfruttare i bug: l'accordo di Wassenaar sull'esportazione di armi e tecnologie non è abbastanza chiaro
  • SicurezzaGoogle, sicurezza con lo smartphone degli altriUn gruppo di ricercatori al soldo di Mountain View parte alla ricerca di vulnerabilità sul Samsung Galaxy S6 Edge, e alla fine la caccia si rivela proficua. Nel mentre l'update mensile per Nexus corregge falle simili a quelle che affliggevano Stagefright
  • SicurezzaAndroid, i produttori che generano insicurezzaUna ricerca britannica mette alla gogna i produttori di smartphone poco inclini a rilasciare tempestivamente gli aggiornamenti per Android, esponendo a rischi la maggior parte degli utenti dell'OS mobile
3 Commenti alla Notizia Chrome su Android si buca con un click
Ordina