Une vulnérabilité dans le moteur Javascript du navigateur de Google permet à un attaquant d’installer n’importe quel logiciel depuis un site Web piégé. Aucun patch n’est disponible pour l’instant.
L’année dernière, Guang Gong, spécialiste de la sécurité employé par Quihoo 360, a découvert une vulnérabilité qui pourrait être utilisée par les pirates pour obtenir les privilèges du serveur du système sur les appareils Android.
A l’occasion du concours de piratage, MobilePwn2Own, de la conférence PacSec à Tokyo, l’expert en sécurité a démontré qu’il suffisait qu’un utilisateur se rende sur un site web piégé, pour qu’un attaquant obtienne tous les privilèges d’accès et d’exécution sur son appareil.
Plus inquiétant encore, cette faille est présente sur n’importe quel terminal Android récent. Plus précisément, elle permet à un attaquant d’installer ni vu ni connu une application arbitraire sans qu’aucune interaction ne soit requise de la part de l’utilisateur.
D’ici qu’une patch soit effectué, il est recommandé de ne pas utiliser Chrome sur votre terminal Android.
Info intéressante ! Merci