Gedurende een Pwn2Own-hackwedstrijd zijn beveiligingsgaten in de software van de Google Nexus 4 en de Samsung Galaxy S4 gevonden. deze kwetsbaarheden zorgen ervoor dat root-toegang wordt verkregen, waardoor data van de smartphones kan worden ontvreemd.
Het beveiligingsprobleem zit in de Chrome-browser van Google. Onderzoeker Pinkie Pie wist een methode te vinden om de sandbox-omgeving van de browser te ontspringen en daardoor volledige toegang tot de Google Nexus 4 en Samsung Galaxy S4 te verkrijgen. De kwetsbaarheid leverde 50.000 dollar op.
Onderzoekers uit Japan vonden nog een tweede exploit voor de Samsung Galaxy S4, waarmee zij een beloning van 40.000 dollar opstreken. Het lukte de onderzoekers om een andere kwetsbaarheid in de Chrome-browser te misbruiken, waardoor eveneens uit de sandbox werd gebroken.
Beide kwetsbaarheden vereisen dat de gebruiker -of iemand anders- de telefoon naar een malafide website toestuurt. Dan kunnen de kwetsbaarheden uitgebuit worden om uitvoerbare code te installeren, waarna het apparaat op afstand kan worden overgenomen.
Precieze details over beide kwetsbaarheden worden niet vrijgegeven door HP, het bedrijf dat de PacSac-beurs waar Pwn2Own plaatsvindt sponsort. Dit is een normale gang van zaken, zo kunnen de exploits opgelost worden voordat ze op grote schaal misbruikt zullen worden. Details over de kwetsbaarheden zijn daarom wel aan Google en Samsung verstrekt.
Het is niet bekend of ook andere Android-telefoons onderhevig zijn aan de kwetsbaarheden.
17 uur geleden
