Chrome : une faille dans le moteur Javascript rendrait les smartphones Android vulnérables

16 novembre 2015 à 10h27
0
Une nouvelle vulnérabilité a été repérée au sein de Chrome. Cette dernière affecterait une majorité des smartphones Android.

Dans le cadre du sommet MobilePwn2Own à Tokyo, à l'occasion de la conférence PacSec, les chercheurs en sécurité de l'équipe de Quihoo 360 ont présenté une nouvelle faille qui affecte la version mobile de Chrome, sans en dévoiler les caractéristiques. L'expert Guang Gong révèle toutefois que cette vulnérabilité exploite V8, le moteur d'exécution Javascript de Chrome publié en open source.

Une éventuelle attaque serait simple à mettre en oeuvre puisqu'elle ne nécessiterait pas de contourner les dispositifs de sécurité intermédiaires. Une page contenant du code malveillant suffit. « Dès que le téléphone accède au site Web, la vulnérabilité Javascript de V8 est exploitée pour installer une application de manière arbitraire (...) sans aucune interaction de la part de l'utilisateur », affirme Dragos Ruiu organisateur de la conférence PacSec.

Selon Quihoo 360, tous les terminaux Android dotés de la dernière version de Chrome seraient concernés. Dans sa démonstration, il a réussi à installer le jeu BMX Bike mais une personne malintentionnée pourrait en profiter pour y injecter divers types de logiciels espions accédant de manière transparente au journal du téléphone, aux messages, aux emails...

035C000008121914-photo-android-ban-gb.jpg


Puisque le moteur V8 est accessible en open source, il trouve sa place dans d'autres navigateurs mobiles, comme Opera, par exemple.

M. Gong explique avoir prévenu Google de ses découvertes, la firme de Mountain View planche donc sur un correctif. Ce dernier sera premièrement publié au sein du code de l'AOSP et l'on espère que les constructeurs partenaires ne tarderont pas à le déployer sur leur terminaux.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Safety Check : Facebook communique sur son dispositif utilisé lors des attentats parisiens
Gmail alertera l'internaute des messages provenant d'une connexion non chiffrée
MacBook et iPad : Apple ne croit pas aux hybrides
Bouygues Telecom reste devant Free Mobile
Le système Windows 10 Mobile assurera-t-il la compatibilité des applications Android ?
5 infos qui nous ont échappé cette semaine
Sondage : quel est votre avis sur l'e-sport ?
Live Japon : bons plans photo
On Refait le Mac : santé connectée, rêve ou cauchemar ?
Infos US de la nuit : Zenefits dans la tourmente
Haut de page