Chrome瀏覽器0day使得數(shù)百萬安卓設(shè)備遭受遠程威脅

責任編輯:editor007

作者:JackFree

2015-11-18 21:56:15

摘自:FreeBuf

這個利用代碼用到了JavaScript V8引擎中的一個漏洞,該引擎預裝在幾乎所有(百萬級)現(xiàn)代的和更新版本的安卓手機中。攻擊者需要做的僅僅是誘使?jié)撛谑芎φ咴L問一個網(wǎng)站,該網(wǎng)站中包含有針對Chrome瀏覽器的惡意利用代碼。

來自中國奇虎360的安全研究員Guang Gong在最新版本的安卓平臺Chrome瀏覽器中發(fā)現(xiàn)一個嚴重的0day漏洞,它允許攻擊者獲得受害者手機的全部管理員訪問權(quán)限,并且該漏洞的利用代碼能夠工作于所有版本的安卓系統(tǒng)上,即使你的設(shè)備運行著最新版本的安卓操作系統(tǒng)。

Chrome瀏覽器0day使得數(shù)百萬安卓設(shè)備遭受遠程威脅

攻擊流程

黑客目前可以使用一種新的方式來攻擊你的安卓智能手機,并能夠遠程獲得安卓手機的完全控制權(quán),即使你的設(shè)備運行著最新版本的安卓操作系統(tǒng)。這個利用代碼用到了JavaScript V8引擎中的一個漏洞,該引擎預裝在幾乎所有(百萬級)現(xiàn)代的和更新版本的安卓手機中。

攻擊者需要做的僅僅是誘使?jié)撛谑芎φ咴L問一個網(wǎng)站,該網(wǎng)站中包含有針對Chrome瀏覽器的惡意利用代碼。一旦受害者訪問了這個網(wǎng)站,在無需與用戶進行任何交互的情況下,惡意程序就會利用Chrome中的漏洞安裝任何惡意應用,使得黑客能夠遠程獲取受害者手機的完整控制權(quán)。

Chrome瀏覽器0day使得數(shù)百萬安卓設(shè)備遭受遠程威脅

漏洞影響

在今年東京舉辦的2015 PacSec大會中的MobilePwn2Own攻擊競賽中,Gong當場演示了如何利用這個安卓平臺Chrome瀏覽器中存在的漏洞。雖然這個0day漏洞不是駐留在安卓操作系統(tǒng)中,但是它能夠影響運行流行操作系統(tǒng)的移動設(shè)備。PacSec組織者Dragos Ruiu補充道,這個利用方法在其他移動設(shè)備上也能夠正常工作,因為它利用的漏洞存在于Chrome瀏覽器的JavaScript引擎中,這意味著它可能會影響所有安裝了谷歌最新Chrome瀏覽器的的安卓系統(tǒng)。

Ruiu在一篇Google+上的博文中說道:

“在離線狀態(tài)下,我們也在其他手機上測試了他的利用代碼,看起來它也能夠在很多其他設(shè)備上正常工作,所以我推測這是他投入開發(fā)的三個月所帶來的成果。”

然而,關(guān)于這個利用方法的完整技術(shù)細節(jié)目前還未公布,但是這位研究人員已經(jīng)向谷歌報告了該漏洞,谷歌預計將向他支付一筆相當大的漏洞利用賞金。

為了安全考慮,在谷歌發(fā)布針對此漏洞的安全補丁之前,建議安卓用戶暫時使用其他瀏覽器。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號