Op een beveiligingsconferentie in Tokyo heeft een onderzoeker een exploit getoond die laat zien hoe een Android-toestel kan worden overgenomen door het bezoeken van een malafide website in Chrome. Hiervoor wordt gebruikgemaakt van een lek in de JavaScript V8-engine van de browser.
Kwetsbaarheid in Chrome waarschijnlijk snel opgelost
Guang Gong van het Chinese beveiligingsbedrijf Quihoo 360 ontdekte de kwetsbaarheid, maar maakte niet alle details bekend om Google de mogelijkheid te geven om het lek te dichten. Gong toonde aan dat het door het bezoeken van een malafide website via Chrome mogelijk is om een app (als voorbeeld een willekeurige BMX-game) te installeren en de volledige controle over het toestel – in dit geval een Nexus 6 – te nemen. Zonder dat de gebruiker van het toestel dit door heeft.
De kwetsbaarheid zit in een recente versie van de Chrome-browser, waardoor in principe vrijwel alle Android-toestellen risico lopen. Gong werd tijdens de conferentie echter bijgestaan door een medewerker van Google en het lek zal dan ook snel gedicht worden. De onderzoeker won dankzij zijn ontdekking een reis naar de beveiligingsconferentie CanSecWest in 2016 en kan waarschijnlijk ook een beloning van Google tegemoetzien.
Lees het laatste nieuws over Chrome
- 4 manieren waarop Google de focus van Android naar Chrome verschuift (15-10)
- Google past automatisch inloggen in Chrome 70 aan na kritiek (26-9)
- Chrome voor Android is compleet vernieuwd: deze 4 dingen moet je weten (4-9)
- Chrome voor Android krijgt nieuw design: zo check je de update nu al (22-8)
- Waarom Chrome binnenkort een stuk meer RAM gebruikt (14-7)
