Domů » Články » Android »
Každý den se snaží nejrůznější lidé najít chyby v systémech a aplikacích, aby mohli získávat data a jiné informace pro svůj prospěch. Naštěstí zde máme i druhou skupinu, která se snaží o to samé, ale jen z toho důvodu, aby byly chyby opraveny. Právě výzkumník Guang Gong, který pracuje v Quihoo 360, přišel na poměrně zásadní chybu v prohlížeči Chrome pro Android.
Konkrétně 3 měsíce pracoval na způsobu, jak zneužít bezpečnostní díru v enginu JavaScript v8. Nakonec se mu podařilo vytvořit skript, jenž může být obsažen na webové stránce. Ten následně propašuje skrze prohlížeč Chrome do smartphonu jakoukoliv aplikaci a nainstaluje ji. Ukázka byla demonstrována na Nexusu 6 (Fi) s nejnovějším softwarem na konferenci PacSec v Tokiu.
Hlavním problémem je, že je vyžadována jen jedna zranitelnost a na nic jiného se nemusí spoléhat. Dokonce není potřeba interakce s uživatelem. Jsou zasaženy všechny verze Chromu pro Android. Google byl již informován o tomto problému a pravděpodobně bude ihned uvolněna nová verze, jež vše napraví.
Zdroj: theregister.co.uk
💡 Získejte Dotekománie Premium a využijte web naplno.
Domů » Články » Android »
Přemysl Vaculík
Androiďák, šéfredaktor, tvůrce @dotekomanie a +dotekomanie.cz. Také milovník adrenalinových sportů, na které nemá čas.
Honza Kopecký
12. 11. 2015, 20:54Týkalo se to ale Andoidu. Tohle je chyba pouze v prohlížeči. I když už to, že lze v systému jakýmkoliv způsobem nainstalovat aplikaci bez interakce uživatele, je dost alarmující.
Ján Valkovič
Inštalácie bez interakcie používateľa sú celkom bežné, takto fungujú napr. aktualizacie. Mňa prekvapilo, že práve chrome má až takúto bezpečnostnú dieru, alebo presnejšie, tunel.
Miloš Zavřel
12. 11. 2015, 17:24nevypisoval Google financni podporu pro toho kdo najde v systemu zasadni bezpecnostni diru? ta castka nebyla mala;)