chrome android La découverte de la vulnérabilité Stagefright, capable de toucher la quasi-totalité des appareils mobiles sous Android, avait conduit Google et les fabricants de terminaux à mettre en place un système de correctifs diffusés mensuellement pour faire face à la montée rapide des menaces émergentes.

Et au vu des révélations faites lors de la conférence PacSec de Tokyo, une nouvelle menace de grande ampleur plane sur un grand nombre d'appareils Android. Une faille dans le navigateur Chrome pour Android dévoilée au concours MobilePwn2Own du PacSec ouvre une porte dans les smartphones Android, juqu'aux plus récents modèles.

Dévoilée par le chercheur en sécurité Guang Gong, de Quihoo 360, la faille n'a pas été expliquée en détail mais elle concerne le module JavaScript v8 et peut être activée par la simple visite d'un site Web vérolé.

Sa grande force est qu'il s'agit d'un exploit direct, et non d'une combinaison de vulnérabilités pour obtenir des accès priviégiés dans le système, comme dans la plupart des cas d'intrusion frauduleuse. Le chercheur a d'ailleurs démontré la possibilité d'installer une application mobile sur le smartphone dès la visite d'un site piégé, sans intervention ni contrôle possible par l'utilisateur.

La découverte de cette énorme faille vaudra sans doute à son découvreur une prime de la part de Google, dans le cadre de son programme de chasse aux bugs accompagné de récompenses financières.

Source : The Register