En raison d’une faille dans le moteur JavaScript de Chrome, tous les appareils fonctionnant avec Android peuvent être piratés à distance.
Le système d’exploitation mobile Android est une nouvelle fois vulnérable à cause d’une faille de sécurité. Ce n’est pas Android qui est cette fois directement la cause du problème, mais le navigateur Chrome.
C’est à l’occasion du concours de piratage MobilePwn2Own, organisé dans le cadre de la conférence PacSec de Tokyo, que l’expert en sécurité Guang Gong, de la société Quihoo 360, a révélé une faille zero-day dans le moteur JavaScript de Chrome (JavaScript V8 Engine).
Une faille particulièrement critique
Comme Guang Gong en a fait la démonstration, cette faille est particulièrement critique vu qu’il suffit de surfer sur un site web piégé pour qu’une personne malveillante obtienne tous les privilèges d’accès et d’exécution sur l’appareil, ce qui lui permet notamment d’installer n’importe quel logiciel sans la moindre intervention de l’utilisateur.
Comme si cette faille n’était pas déjà assez critique, elle est aussi présente sur tous les terminaux récents fonctionnant avec Android.
Pour l’heure, les détails techniques de cette faille n’ont pas été rendus publics. Google a été informé et devrait normalement proposer prochainement un correctif. D’ici là, il est recommandé de ne plus utiliser le navigateur Chrome pour Android.
PWN2OWN Mobile: exploit loaded application APK, pwned phone without user interaction upon visiting website pic.twitter.com/yeOkytexLu
— dragosr (@dragosr) 11 Novembre 2015