Google Chrome : Tous les mobiles Android affectés par une faille de sécurité
publié le 17 novembre 2015 à 17h45.
Le chercheur en sécurité Guang Gong a découvert une faille de sécurité affectant la version mobile de Google Chrome et exploitable sur tous les mobiles Android.
Alors que le souvenir de la faille Stagefright commence seulement à s’effacer, les utilisateurs d’Android vont devoir faire face à une nouvelle alerte concernant la sécurité du système d’exploitation mobile de Google.
Lors de l’événement MobilePwn2Own qui s’est déroulé en marge de la PacSec de Tokyo, le chercheur en sécurité Guang Gong a démontré aux yeux de tous comment une faille présente sur la version mobile de Google Chrome permet de prendre le contrôle de n’importe quel téléphone Android.
Le moteur JavaScript coupable
C’est devant une assistance médusée sur Guang Gong a pris le contrôle d’un Nexus 6 pour y installer une application à distance sans trop d’effort.
Si la démonstration est édifiante, il aura fallu trois mois au chercheur en sécurité pour exploiter cette faille présente dans le moteur de JavaScript V8. Il lui suffit ensuite d’injecter le code vérolé contenu dans une simple page web créée pour l’occasion. Guang Gong indique que la faille est exploitable sur n’importe quel smartphone Android du marché à partir du moment ou l’utilisateur utilise Google Chrome. Une faille qui revêt un côté exceptionnel, car il suffit d’exploiter que cette dernière pour installer des logiciels malveillants sur le téléphone, là ou d’habitude, les hackers en exploitent plusieurs.
PWN2OWN Mobile: exploit loaded application APK, pwned phone without user interaction upon visiting website pic.twitter.com/yeOkytexLu
— dragosr (@dragosr) November 11, 2015
Google est prévenu, on attend le patch !
Bien entendu, le chercheur en sécurité n’a pas dévoilé les détails techniques permettant d’exploiter cette faille et les équipes de Google ont été prévenues très rapidement.
Aucun patch de sécurité n’a été publié à l’heure où nous écrivons ces lignes, mais nul doute que cela ne devrait pas tarder tant la faille semble dangereuse à la vue du nombre de téléphones potentiellement vulnérables. En attendant, la découverte de Guang Gong lui a valu une invitation à la CanSecWest de Vancouver en mars 2016. Il se murmure que les équipes de Google pourraient lui offrir une prime pour sa découverte à cette occasion.