Dall’evento MobilePwn2Own , nell’ambito della conferenza PacSec di Tokyo arriva un nuovo, pericoloso bug di sicurezza individuato nel browser Chrome sull’OS Android, un problema che a quanto pare coinvolge tutte le versioni del sistema operativo mobile di Google e rende i terminali vulnerabili ad attacchi particolarmente facili da condurre in porto.
Individuato da Guang Gong, ricercatore della società cinese Quihoo 360, il baco si trova all’interno dell’engine JavaScript V8: alla conferenza in terra nipponica, Gong ha dimostrato di poter compromettere la sicurezza di un gadget Android semplicemente visitando una pagina Web, aprendo un link malevolo e infine installando una nuova app sul terminale senza ulteriori interventi da parte dell’utente.
La nuova vulnerabilità viene considerata di pregio particolare rispetto al solito, visto che non è necessario programmare exploit multipli (in grado di sfruttare uno o più bug in serie) per bypassare in maniera completa le misure di sicurezza di Chrome e Android.
Data la natura sensibile del bug, alla dimostrazione è seguita l’iniziativa di Google che ha contattato il ricercatore cinese e sarebbe già al lavoro su una patch correttiva. Gong ha comunicato i dettagli del bug agli ingegneri di Mountain View, mentre nulla si sa in merito all’eventuale premio in denaro che la corporation assegnerà al ricercatore.
A ricevere ulteriore conferma è in ogni caso l’importanza di eventi come il MobilePwn2Own, contest ad altissimo contenuto tecnico la cui sopravvivenza è però stata minacciata dalle autorità statunitensi e dalla loro volontà di gestire i bug di sicurezza come armi soggette a vincoli di esportazione.
Ti potrebbe interessare
13 nov 2015