На конференции PacSec в Токио ИБ-эксперт смог скомпрометировать Chrome для Android при помощи одного-единственного эксплойта, которому оказались подвержены все Android-устройства.

Демонстрация произошла в рамках хакерского конкурса MobilePwn2Own; по понятным причинам полные сведения об эксплойте не разглашаются. Известно, что лазейкой для потенциального злоумышленника стал JavaScript v8 в браузере Chrome, по умолчанию устанавливаемом на все Android-устройства, то есть через брешь в JavaScript можно эксплуатировать все Android-девайсы, как уже устаревшие, так и обновленные до Marshmallow. Для успешной атаки нужно заставить пользователя всего лишь посетить вредоносную страницу.

Эксплойт интересен тем, что для его работы не требуется эксплуатировать несколько уязвимостей. Обычно для того, чтобы в удаленном режиме добиться повышения привилегий и загрузки вредоносного ПО на целевое устройство, приходится использовать целую серию багов, но в данном случае компрометация происходит в одно действие. Как только пользователь заходит со смартфона на сайт, через уязвимость JavaScript v8 в Chrome без участия пользователя устанавливается произвольное приложение.

Исследователь Гуан Гун (Guang Gong) из Quihoo 360 потратил на разработку эксплойта около трех месяцев. «Подопытным кроликом» для публичного испытания стал новый смартфон Nexus 6 (Google Project Fi). «Вредоносным приложением» в демонстрации выступила игра BMX Bike.

В Google получили информацию о баге и, скорее всего, выплатят награду в рамках Bug Bounty, так как подробности о рабочем эксплойте де-факто разглашены не были и правила программы исследователь не нарушал. В качестве приза от организаторов Гун также получил путевку на мартовскую конференцию CanSecWest в Канаде, где собирается, по его словам, также отдохнуть на горнолыжном курорте.

В прошлом году хакеры, взломавшие с целью исследования популярные смартфоны, получили денежные премии в размере $425 тыс., но в этом году из-за принятия неоднозначных Вассенаарских договоренностей Google и HP Zero Day Initiative не смогли проспонсировать мероприятие. Кроме того, проект ZDI, являющийся частью Tipping Point, дочерней организации HP, недавно отошел компании Trend Micro. Apple и Microsoft также не смогли помочь организаторам.

На момент написания публикации информация о том, что уязвимость содержится во всех версиях Android с обновленным Chrome, подтвердилась; на запрос The Register о комментарии Google пока не отреагировала.

Категории: Уязвимости