Un nuevo fallo en Chrome puede comprometer cualquier smartphone Android
Un fallo en Chrome, concretamente en Javascript, puede permitir tomar el control de cualquier terminal Android con facilidad.
13 noviembre, 2015 11:11El tema de la seguridad en Android es un tema cada vez más sensible desde la crisis de Stagefrigth. Así, un investigador de Quihoo 360 ha descubierto recientemente un nuevo fallo en Chrome que puede afectar a la mayoría de dispositivos Android que están en el mercado, los modelos más nuevos inclusive, si el usuario visita una de las plataformas infectadas.
Esta vulnerabilidad ha sido dada a conocer en el evento de MobilePwn2Own que organiza PacSec. Lo que en este caso llama la atención y es más preocupante que es simplemente un exploit, no una cadena compleja de pasos que se vinculan para llegar a desatar ese nuevo fallo en Chrome. Aunque el investigador declinó explicar públicamente los pormenores de este nuevo fallo en Chrome, si que revelo que se trata de una vulnerabilidad en la versión 8 de Javascript.
El investigador que descubrió el exploit es Guang Gong, que fue recompensando por PacSec, que le ha invitado a la conferencia de seguridad CanSecWest en marzo del próximo año para presentar su estudio sobre este nuevo fallo en Chrome. Además, Google pagará también probablemente una recompensa por el descubrimiento del error. Guang estuvo en contacto durante el evento con el responsable de seguridad de los de Mountain View quien tomó en consideración su trabajo.
Nuevo fallo en Chrome: Tomar el control de un Nexus 6
El trabajo para descubrir esta vulnerabilidad le ocupó más de tres meses. Es decir, que para demostrar este fallo en Chrome ha establecido un método eficiente. Con un Nexus 6, después de visitar una web mezclada con el script malicioso sin demasiadas complicaciones fue capaz de asumir en su totalidad el control del smartphone. En la demostración, Guang instaló un juego sin permiso, pero el peligro puede ser mucho mayor dependiendo de quien tome el control.
El organizador de la cita de PanSec informó que esta vulnerabilidad debería funcionar en cualquier dispositivo Android, ya que golpe el motor de JavaScript. Poco despúes de revelerlo, un equipo alemán asegura que ha sido capaz de replicarlo en un dispositivo Samsung.