Uma nova falha em Chrome pode comprometer qualquer smartphone Android
Tem sido sempre dito que nunca chove mas transborda, e, no caso da segurança e do sistema operacional do Google, podemos dizer que é verdade. Desde a chegada de StageFright em duas variantes e agora este novo problema. A questão da segurança no Android é cada vez mais sensível desde estes crises com StageFrigth. Assim, um pesquisador da Quihoo 360 descobriu recentemente um novo bug no Chrome que pode afetar a maioria dos dispositivos Android no mercado, incluindo os modelos mais recentes, se o usuário visitar plataformas infectadas.
Esta vulnerabilidade foi divulgada no evento MobilePwn2Own organizado pela PacSec. Mas o que, neste caso, chama a nossa atenção e é mais preocupante é um exploit carregado num aplicativo APK (sujeita o telefone sem interação do usuário ao visitar um site), não uma cadeia complexa de etapas que estão ligadas a desenvolver uma nova falha no Chrome. Embora o investigador se recusou a explicar publicamente os detalhes desta nova falha no Chrome, revela-se que estamos falando de uma vulnerabilidade na versão 8 do JavaScript.
O pesquisador que o descobriu é Guang Gong, que foi recompensado por PacSec, que o convidou para a conferência de segurança CanSecWest em março do próximo ano para apresentar seu estudo sobre este novo bug no Chrome. Além disso, provavelmente o Google também vai pagar uma recompensa por ter descoberto o erro. Guang estava em contato durante o evento com o oficial da empresa de Mountain View, que tomou em consideração o seu trabalho de segurança.
O trabalho de descobrir esta vulnerabilidade levou mais de três meses. Ou seja, para demonstrar esta falha de Chrome estabeleceu um método eficiente. Com um Nexus 6, depois de visitar um site simples com o script malicioso foi capaz de assumir o controle total do smartphone. Na demonstração, Guang instalava um jogo sem permissão, mas o perigo pode ser muito maior, dependendo de quem assume o controle.
O organizador PanSec informou que esta vulnerabilidade pode funcionar em qualquer dispositivo Android uma vez ele bateu o motor de JavaScript. Pouco depois de descobrir isso, uma equipe alemã diz que tem sido capaz de reproduzi-lo em um dispositivo Samsung.