Durante la conferenza PacSec di Tokyo, il ricercatore Guang Gong ha mostrato un grave bug di Chrome per Android, utilizzando per la dimostrazione un Nexus 6 di Google Project Fi. Il bug riguarda il motore JavaScript v8, e sfruttando la falla di sicurezza, si può installare una qualsiasi applicazione sul dispositivo Android, a totale insaputa dell’utente. Questa falla è particolarmente pericolosa in quanto utilizza una banale pagina web e non servono altre vulnerabilità per infettare il terminale.
Nella dimostrazione, non appena è stata visitata la pagina web infetta in Chrome, è stata installata l’applicazione voluta dall’hacker, in questo caso un banale gioco. Ovviamente, in caso questa falla venga davvero sfruttata da malintenzionati, l’applicazione installata può contenere un potente virus infettando così a sua insaputa l’utente.
La redazione di The Register, che ha dato per prima la notizia, ha contatto subito Google per informare della presenza della minaccia ma per ora non è arrivata ancora nessuna risposta.
Il ricercatore Guang Gong, ha nuovamente confermato che tutti i dispositivi Android con installata l’ultima versione di Chrome sono potenziamenti vulnerabili.
Speriamo che Google si metta al più presto al lavoro per risolvere questa falla e in tal senso ci aspettiamo presto un aggiornamento di Chrome.