Alerte rouge sur Android. Il y a quelques jours, le hacker Guang Gong de la société Quihoo 360 a révélé une faille zero-day dans le moteur Javascript de Chrome (« Javascript V8 Engine »).
A l’occasion du concours de piratage MobilePwn2Own de la conférence PacSec à Tokyo, l’expert en sécurité a démontré qu’il suffisait qu’un utilisateur se rende sur un site web piégé pour qu’un attaquant obtienne tous les privilèges d’accès et d’exécution sur son appareil. Plus inquiétant encore, cette faille est présent sur n’importe quel terminal Android récent. Plus précisément, elle permet à un attaquant d’installer ni vu ni connu une application arbitraire sans qu’aucune interaction ne soit requise de la part de l’utilisateur.
Les détails techniques ne sont pas connus, car aucun patch n’est disponible pour l’instant. M. Guang Gong a transmis sa trouvaille à Google qui devrait fournir un correctif prochainement. D’ici là, par mesure de prudence, nous serions tenté de vous recommander de ne pas utiliser Chrome sur votre terminal Android… « Ce qui est impressionnant avec l’exploit de Guang, c’est qu’il s’agit d’un one-shot. Dans la plupart des cas aujourd’hui, les hackers sont obligés d’exploiter plusieurs failles d’affilée pour obtenir un accès privilégié et installer des logiciels en douce », explique Dragos Rui, l’organisateur de ce concours, dans les colonnes de The Register. Nous rappelons toutefois que cette faille n’a pas été découverte dans un but frauduleux, mais dans le cadre d’une compétition.
Ci-dessous, un tweet qui montre l’organisateur avec le Guang Gong:
PWN2OWN Mobile: exploit loaded application APK, pwned phone without user interaction upon visiting website pic.twitter.com/yeOkytexLu
— dragosr (@dragosr) November 11, 2015
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
