Chrome : une grave faille affecte tous les smartphones Android
Une grave faille a été découverte sur la dernière version de Chrome, et permet de pirater tous les smartphones Android. C'est ce qu'a démontré Guang Gong, spécialiste de la sécurité employé par Quihoo 360, lors du concours de hack MobilePwn2Own qui s'est tenu lors de la conférence PacSec à Tokyo.
La vulnérabilité affecte plus précisément le moteur JavaScript V8. Comme le rapportent nos confrères de The Register, une fois que le smartphone accède à un site piégé, la vulnérabilité du moteur JavaScript V8 peut être utilisée pour installer une application, sans requérir d'interaction de l'utilisateur, et prendre le contrôle du smartphone. Pour la démonstration, Guang Gong a pu précisément installer l'app d'un jeu. Fait remarquable, il n'aura exploité qu'une seule faille, alors que la plupart des exploits de cette envergure nécessite en général aujourd'hui d'utiliser plusieurs vulnérabilités.
Tous les détails concernant la manière d'exploiter la faille n'ont toutefois pas été communiqués lors de la démonstration, sauf à Google, qui travaille au déploiement du correctif, mais semble ne pas pouvoir rémunérer Guang Gong via son programme récompensant les chasseurs de failles. Faute de sponsors, MobilePwn2Own ne va pouvoir offrir à Guang Gong qu'un séjour au Canada, pour skier, et pour assister à la conférence CanSecWest en mars prochain. Il y a quelques jours, une entreprise expliquait avoir payé un million de dollars pour des vulnérabilités qui permettaient de pirater tous les iPhone, et qui n'allaient pas être communiquées à Apple.