1 min

Tags in dit artikel

,

Een Chinese onderzoeker heeft een groot lek gevonden in Chrome voor Android, waarmee een toestel eenvoudig is over te nemen. Als een Android-gebruiker in Chrome een malafide webpagina bezoekt kan het lek worden misbruikt en het toestel worden overgenomen. Zo kan er via de webpagina bijvoorbeeld een app worden geïnstalleerd op het toestel. Het lek is nog niet gedicht door Google.

De Chinese beveiligingsonderzoeker, Guang Gong, presenteerde het lek op de PacSec-conferentie in Tokyo, Japan. Hij werkt voor het beveiligingsbedrijf Qihoo 360 en heeft drie maanden lang gewerkt aan het lek zodat hij kan aantonen hoe eenvoudig het te misbruiken is. Hij zegt misbruik te maken van een lek in de JavaScript v8-engine. Hij wist zeer eenvoudig op een Google Project Fi Nexus 6-toestel met de laatste Marshmallow-software en alle apps helemaal bijgewerkt het lek te demonstreren.

Google heeft het lek nog niet gedicht, of het werkt aan een update is nog onduidelijk. Gong heeft aangegeven dat het lek al op 21 augustus bij Google is aangemeld. Nu het lek op straat ligt zal Google snel met een patch en een update moeten komen, want de kans dat er binnenkort misbruik van wordt gemaakt neemt nu snel toe.

Google heeft nog niet gereageerd op de demonstratie en de publicatie van het lek, maar zal dat ongetwijfeld snel doen, nu er veel media-aandacht voor is. Waarschijnlijk kan Google het lek, in tegenstelling tot veel Android-lekken, makkelijk dichten door de Chrome-applicatie van een update te voorzien.