Chrome : une faille dans le moteur Javascript rendrait les smartphones Android vulnérables

16 novembre 2015 à 10h27
0
Une nouvelle vulnérabilité a été repérée au sein de Chrome. Cette dernière affecterait une majorité des smartphones Android.

Dans le cadre du sommet MobilePwn2Own à Tokyo, à l'occasion de la conférence PacSec, les chercheurs en sécurité de l'équipe de Quihoo 360 ont présenté une nouvelle faille qui affecte la version mobile de Chrome, sans en dévoiler les caractéristiques. L'expert Guang Gong révèle toutefois que cette vulnérabilité exploite V8, le moteur d'exécution Javascript de Chrome publié en open source.

Une éventuelle attaque serait simple à mettre en oeuvre puisqu'elle ne nécessiterait pas de contourner les dispositifs de sécurité intermédiaires. Une page contenant du code malveillant suffit. « Dès que le téléphone accède au site Web, la vulnérabilité Javascript de V8 est exploitée pour installer une application de manière arbitraire (...) sans aucune interaction de la part de l'utilisateur », affirme Dragos Ruiu organisateur de la conférence PacSec.

Selon Quihoo 360, tous les terminaux Android dotés de la dernière version de Chrome seraient concernés. Dans sa démonstration, il a réussi à installer le jeu BMX Bike mais une personne malintentionnée pourrait en profiter pour y injecter divers types de logiciels espions accédant de manière transparente au journal du téléphone, aux messages, aux emails...

035C000008121914-photo-android-ban-gb.jpg


Puisque le moteur V8 est accessible en open source, il trouve sa place dans d'autres navigateurs mobiles, comme Opera, par exemple.

M. Gong explique avoir prévenu Google de ses découvertes, la firme de Mountain View planche donc sur un correctif. Ce dernier sera premièrement publié au sein du code de l'AOSP et l'on espère que les constructeurs partenaires ne tarderont pas à le déployer sur leur terminaux.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
0
0

Actualités récentes

Un hacker accède au dispositif d'un sextoy connecté et demande une rançon à son utilisateur
Wing Commander I, II et III : quand jeu d'action et PC faisaient déjà bon ménage
CES 2021 : Sony VISION-S, le concept-car, tout en écran du constructeur Japonais se montre
En 2020, plus de 2 milliards de tweets ont traité du jeu vidéo, soit une hausse de 75 % en un an
WhatsApp, Signal : pourquoi tout le monde panique soudainement au sujet de ses données ?
iPhone 12 Pro Max / Huawei Mate 40 Pro / Google Pixel 5 : lequel choisir pour la photo ?
Test ASUS ZenBook Duo 14 (2021) : l’ultraportable créatif est-il à l’aise en création ?
Bon plan VPN : CyberGhost, NordVPN, Surfshark, toutes les promos VPN de ce week-end
Notre sélection de logiciels et applications pour diminuer la fatigue des yeux devant un écran
CES 2021 : Netgear présente de nouvelles solutions 4G LTE et 5G
Haut de page