Scoperta una nuova grave vulnerabilità in Google Chrome per Android basata su JavaScript v8.


In questi giorni Guang Gong, ricercatore di Quihoo 360, (società cinese specializzata in sicurezza), ha fatto sapere di aver scoperto una nuova vulnerabilità all'interno dei dispositivi Android la quale permette ai malintenzionati di installare una qualsiasi applicazione sullo smartphone senza l'autorizzazione degli utenti. In pratica non si tratta di una catena di bug che permette di ottenere i privilegi di root, ma un singolo errore presente nell'applicazione di Google Chrome che permette di eseguire codice infetto e garantisce il completo controllo del dispositivo Android a chiunque sia in grado di creare una pagina HTML con i giusti accorgimenti: entrando un po' più nel dettaglio, come spiegato dallo stesso Guang Gong in occasione dell'edizione di quest'anno del PacSec, tale vulnerabilità sfrutta un errore presente nel motore JavaScript v8 utilizzato, appunto, da Google Chrome per dispositivi mobili. Insomma, si tratta di un bug che, se non verrà risolto in breve tempo, potrebbe compromettere la sicurezza di milioni di utenti che utilizzano dispositivi mobili dotati del sistema operativo Android. Difatti durante il suddetto evento Guang Gong ha dimostrato alla stampa presente il funzionamento della vulnerabilità in questione, (scoperta dopo 3 mesi di lavoro), senza scendere nei dettagli per evitare di renderla pubblica ed utilizzando un Google Nexus 6 compatibile con Project Fi. In sostanza il ricercatore cinese ha mostrato a tutti come bastasse collegarsi ad una pagina web perché in pochi minuti sul suo Nexus 6 venisse scaricato ed installato un videogioco, senza che all'utente venisse richiesta alcuna autorizzazione né operazione particolare: è molto facile pensare che invece del suddetto videogioco si potrebbe inviare un RAT o un qualsiasi altro tipo di malware, senza destare alcun sospetto e cancellando tutte le tracce. Inoltre, come spiegato dallo stesso Guang Gong, un malintenzionato potrebbe installare un'applicazione sullo smartphone degli utenti semplicemente invitandoli ad aprire un link verso un sito web appositamente infettato il quale farebbe scaricare in automatico l'applicazione. Ad ogni modo i responsabili di Google Chrome hanno fatto sapere che sono già al lavoro per correggere il problema in questione, (ovviamente tramite il rilascio di un aggiornamento che dovrebbe bloccarlo definitivamete), e che premieranno l'esperto informatico con un compenso in denaro, (la quale sicuramente sarà minima, se confrontata con quanto alcune società più o meno lecite avrebbero pagato sul mercato nero per accedere ad una tecnica così potente), per ringraziarlo della preziosa informazione e per non aver reso pubblici i dettagli su come sfruttare questa pericolosa falla. Comunque sia in attesa che la falla venga chiusa sarebbe bene tenere gli occhi ben aperti; anche se potrebbe addirittura essere necessario utilizzare un browser alternativo per qualche tempo.

Commenti