Tijdens de PacSec-conferentie eerder deze maand in Japan gehouden, toonde de Chinese onderzoeker Guang Gong hoe hij de controle over een volledig geüpdatet Android-toestel kon overnemen. Hij slaagde hier in door een lek in JavaScript v8 via de Chrome-browser te misbruiken en demonstreerde het probleem op een Google Project Fi Nexus 6-toestel met Android 6.0 Marshmallow. Wat het lek nog kritieker maakt, is dat Gong er in één keer misbruik van kon maken. Hij hoefde geen reeks van zwaktes in de beveiliging uit te buiten, waardoor miljoenen toestellen met Javascript momenteel gevaar lopen. “We testten de aanval ook offline op enkele andere telefoons en het ziet er naar uit dat het ook op verscheidene andere doelwitten werkt,” voegt Ruiu hier aan toe.

Dragos Ruiu, één van de PacSec-leden, was het onfortuinlijke slachtoffer tijdens de conferentie en deelde zijn bewondering voor Gong via Google+. “Guang Gong nam de controle over mijn toestel over door de Chrome-browser naar de webserver te laten gaan die hij had opgezet. Vanaf het moment dat de telefoon op de website kwam, werd het lek in JavaScript v8 gebruikt om een willekeurige applicatie te installeren. Hiermee demonstreerde hij dat hij volledige controle over mijn toestel had, zonder dat enige gebruikersinteractie nodig was,” legt Ruiu uit.

Gong liet het lek voor het eerst aan Google weten in augustus, maar een manier om het gat te dichten is voorlopig nog niet gevonden. 

Alles bij de bron; ZDNet [Thnx-2-Luc]


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha