Un bug a été trouvé dans la version Android de Chrome qui pourrait permettre aux hackers d’installer et d’exécuter les applications qu’ils souhaitent sur votre smartphone. The Register a rapporté que le bug a été trouvé dans le moteur d’exécution JavaScript V8 de Chrome, ce qui signifie que le code douteux pourrait éventuellement être chargé sur votre smartphone si vous visitez un site Web malveillant.
Pire encore, ce bug a été trouvé dans l’un des nouveaux smartphones Android – le propre Nexus 6 (la version du projet Fi) de Google, suggérant que le problème pourrait affecter beaucoup de smartphones. Autrement dit, c’est mauvais.
Cependant, les bonnes nouvelles sont que le bug n’a pas été découvert par des hackers maléfiques, mais par l’un des bons gars. Le hacker chinois Guang Gong a présenté l’exploit lors de la conférence PacSec à Tokyo – une réunion d’experts de la sécurité qui montrent ce qu’ils ont découvert pour recevoir des félicitations.
En fait, Gong pourrait même recevoir une récompense monétaire de la part de Google pour avoir trouvé le problème, dans le cadre de son programme de récompenses Android Security.
Google est consciente
Ce qui est particulièrement notable est que l’exploit fonctionne en solo, et ne nécessite pas de multiples vulnérabilités pour fonctionner. Pour le montrer, le hacker a démontré la faille en installant une application avec succès, sans demander la permission à l’utilisateur. Cela signifie que, du fait de la vulnérabilité, du code non autorisé pourrait être exécuté sur votre smartphone.
Gong a aussi partagé les détails de son exploit avec Google, de sorte que l’entreprise peut construire un patch pour stopper celui-ci.
Il va être intéressant de voir combien de temps il faudra avant que la faille soit corrigée sur tous les smartphones Android. En effet, bien que très critique, les mises à jour logicielles sont contrôlées par les fabricants et les opérateurs mobiles. Autrement dit, il est plus difficile de patcher rapidement les dispositifs Android – à contrario d’iOS.
