Op een beveiligingsconferentie in Tokyo heeft een onderzoeker een exploit getoond die laat zien hoe een Android-toestel kan worden overgenomen door het bezoeken van een malafide website in Chrome. Hiervoor wordt gebruikgemaakt van een lek in de JavaScript V8-engine van de browser.
Lees verder na de advertentie.
Kwetsbaarheid in Chrome waarschijnlijk snel opgelost
Guang Gong van het Chinese beveiligingsbedrijf Quihoo 360 ontdekte de kwetsbaarheid, maar maakte niet alle details bekend om Google de mogelijkheid te geven om het lek te dichten. Gong toonde aan dat het door het bezoeken van een malafide website via Chrome mogelijk is om een app (als voorbeeld een willekeurige BMX-game) te installeren en de volledige controle over het toestel – in dit geval een Nexus 6 – te nemen. Zonder dat de gebruiker van het toestel dit door heeft.
De kwetsbaarheid zit in een recente versie van de Chrome-browser, waardoor in principe vrijwel alle Android-toestellen risico lopen. Gong werd tijdens de conferentie echter bijgestaan door een medewerker van Google en het lek zal dan ook snel gedicht worden. De onderzoeker won dankzij zijn ontdekking een reis naar de beveiligingsconferentie CanSecWest in 2016 en kan waarschijnlijk ook een beloning van Google tegemoetzien.
Lees het laatste nieuws over Chrome
- Anoniem browsen in Google Chrome: zo zet je de incognitomodus aan (30-6)
- Datalek? Chrome-wachtwoordmanager verandert jouw wachtwoord direct (19-5)
- Handig: zo deel je sneller een website in Google Chrome (12-5)
- Krijg je continu Chrome-meldingen? Zo blokkeer je ze (28-4)
- Google gaat Chrome sneller updaten om nieuwe functies toe te voegen (5-3)