Alors que les esprits se remettent à peine de Stagefright (encore présente sur de nombreux smartphones), une nouvelle faille de sécurité 0-day vient d’être découverte. Présente dans Google Chrome, celle-ci permet l’installation à distance d’applications.

android google chrome 36 image 01

Des failles, il en existe, quel que soit le système d’exploitation. Sur Android, l’actualité est régulièrement ponctuée par la découverte de l’une d’elles, à l’instar de Stagefright, qui a défrayé la chronique cet été. À l’occasion de la PacSec, qui s’est déroulée à Tokyo la semaine dernière, et plus particulièrement lors de l’évènement MobilePwn2Own, une nouvelle faille critique a été dévoilée sur le système. Ou plus particulièrement sur Google Chrome, le navigateur Internet du système.

Une faille de JavaScript

Durant l’évènement, Guang Gong, chercheur en sécurité au sein de la société Quihoo 360, a réussi à prendre le contrôle d’un Nexus 6 afin d’y installer une application tierce à distance – choisie ici arbitrairement pour l’occasion.  L’exploit, qui a été préparé durant trois mois, a été permis par une faille du moteur JavaScript (v8) de Chrome, et uniquement cette faille, rendant l’exploit particulièrement impressionnant.

L’exploitation de la faille est peu complexe, puisque n’importe quel téléphone sous Android se rendant sur un site affichant le code malicieux se retrouverait alors infecté. N’importe quel lien peut donc se révéler un danger potentiel pour tous les smartphones disponibles sur le marché à partir du moment où l’utilisateur utilise la dernière version de Chrome.

Google déjà mis au courant

Naturellement, les détails exacts de cette faille n’ont pas été publiés afin d’éviter qu’elle ne tombe en de mauvaises mains. Google en revanche a déjà été mis au courant, et doit certainement déjà travailler à un patch de sécurité afin de corriger le problème. En guise de récompense, Guang Gong s’est vu offrir un billet pour la CanSecWest, un autre congrès axé sur la sécurité qui se déroulera à Vancouver en mars 2016. Il n’est pas impossible non plus selon Dragos Ruiu, organisateur de l’évènement, que Google lui offre une prime.

Comments

comments

Vous aimerez aussi :

  1. Une faille dans le Sony Xperia Z permet de déverrouiller le téléphone sans rentrer la sécurité
  2. Stagefright 2.0 : la faille de sécurité de retour, avec davantage d’appare ils vulnérables
  3. Google Chrome : une fonction de contrôle parental intégrée au navigateur
  4. Stagefright : les patchs contiennent eux aussi une faille de sécurité
  5. Stagefright : les patchs contiennent eux aussi une faille de sécurité