Solitamente i maggiori pericoli per la sicurezza su Android provengono dall’esterno (app di terze parti che nascondono malware). Questa volta, però, il sistema operativo di Google è stato “attaccato” da un suo parente stretto. Un ricercatore cinese ha infatti scoperto una grave vulnerabilità in Chrome che potrebbe essere sfruttata per eseguire codice infetto su ogni dispositivo Android. L’azienda di Mountain View, informata del problema, ha promesso il pagamento di un premio in denaro.
Guang Gong, ricercatore di Quihoo 360, ha illustrato il funzionamento dell’exploit sviluppato in tre mesi durante il recente MobilePwn2Own organizzato a Tokyo. La dimostrazione è stata effettuata su un Google Nexus 6 compatibile con Project Fi. A differenza di molti exploit, quello scritto dal ricercatore cinese è “one shot”. Ciò significa che non sfrutta una serie di vulnerabilità, ma un singolo bug individuato nel motore JavaScript v8 usato dal browser di Google. La falla di sicurezza consente di guadagnare accesso privilegiato su Android e di installare qualsiasi applicazione, senza l’iterazione dell’utente.
Un malintenzionato potrebbe ottenere il controllo completo del dispositivo, se l’utente visita un sito web dal quale viene automaticamente scaricata l’applicazione. La vulnerabilità, presente anche nell’ultima versione di Chrome, mette a rischio tutti gli smartphone Android. L’exploit richiede infatti solo piccole modifiche per adattare il codice alla versione del sistema operativo e del motore JavaScript.
Google ha ricevuto i dettagli sul bug e troverà presto una soluzione. L’effettiva disponibilità della patch dipenderà ovviamente dai produttori e dagli operatori telefoni. Grazie alla sua scoperta, Gong riceverà probabilmente un premio in denaro, come previsto dal programma Android Security Rewards.