c.m.g
14-11-2015, 08:31
venerdì 13 novembre 2015
Un ricercatore cinese dimostra l'esistenza di un baco di alto profilo sul browser Chrome, un problema che mette a rischio tutte le versioni dell'OS Android. Google ha già ricevuto i dettagli ed è al lavoro su un aggiornamento
Roma - Dall'evento MobilePwn2Own, nell'ambito della conferenza PacSec di Tokyo arriva un nuovo, pericoloso bug di sicurezza individuato nel browser Chrome sull'OS Android, un problema che a quanto pare coinvolge tutte le versioni del sistema operativo mobile di Google e rende i terminali vulnerabili ad attacchi particolarmente facili da condurre in porto.
Individuato da Guang Gong, ricercatore della società cinese Quihoo 360, il baco si trova (http://www.theregister.co.uk/2015/11/12/mobile_pwn2own/) all'interno dell'engine JavaScript V8: alla conferenza in terra nipponica, Gong ha dimostrato di poter compromettere la sicurezza di un gadget Android semplicemente visitando una pagina Web, aprendo un link malevolo e infine installando una nuova app sul terminale senza ulteriori interventi da parte dell'utente.
La nuova vulnerabilità viene considerata di pregio particolare rispetto al solito, visto che non è necessario programmare exploit multipli (in grado di sfruttare uno o più bug in serie) per bypassare in maniera completa le misure di sicurezza di Chrome e Android.Data la natura sensibile del bug, alla dimostrazione è seguita l'iniziativa di Google che ha contattato il ricercatore cinese e sarebbe già al lavoro su una patch correttiva. Gong ha comunicato (http://news.softpedia.com/news/chrome-for-android-has-a-hidden-vulnerability-quite-simple-to-exploit-496098.shtml) i dettagli del bug agli ingegneri di Mountain View, mentre nulla si sa in merito all'eventuale premio in denaro che la corporation assegnerà al ricercatore.
A ricevere ulteriore conferma è in ogni caso l'importanza di eventi come il MobilePwn2Own, contest ad altissimo contenuto tecnico la cui sopravvivenza è però stata minacciata (http://punto-informatico.it/4268344/PI/News/pwn2own-attentato-alla-cybersicurezza.aspx) dalle autorità statunitensi e dalla loro volontà di gestire i bug di sicurezza come armi soggette a vincoli di esportazione.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4283553/PI/News/chrome-android-si-buca-un-click.aspx)
Un ricercatore cinese dimostra l'esistenza di un baco di alto profilo sul browser Chrome, un problema che mette a rischio tutte le versioni dell'OS Android. Google ha già ricevuto i dettagli ed è al lavoro su un aggiornamento
Roma - Dall'evento MobilePwn2Own, nell'ambito della conferenza PacSec di Tokyo arriva un nuovo, pericoloso bug di sicurezza individuato nel browser Chrome sull'OS Android, un problema che a quanto pare coinvolge tutte le versioni del sistema operativo mobile di Google e rende i terminali vulnerabili ad attacchi particolarmente facili da condurre in porto.
Individuato da Guang Gong, ricercatore della società cinese Quihoo 360, il baco si trova (http://www.theregister.co.uk/2015/11/12/mobile_pwn2own/) all'interno dell'engine JavaScript V8: alla conferenza in terra nipponica, Gong ha dimostrato di poter compromettere la sicurezza di un gadget Android semplicemente visitando una pagina Web, aprendo un link malevolo e infine installando una nuova app sul terminale senza ulteriori interventi da parte dell'utente.
La nuova vulnerabilità viene considerata di pregio particolare rispetto al solito, visto che non è necessario programmare exploit multipli (in grado di sfruttare uno o più bug in serie) per bypassare in maniera completa le misure di sicurezza di Chrome e Android.Data la natura sensibile del bug, alla dimostrazione è seguita l'iniziativa di Google che ha contattato il ricercatore cinese e sarebbe già al lavoro su una patch correttiva. Gong ha comunicato (http://news.softpedia.com/news/chrome-for-android-has-a-hidden-vulnerability-quite-simple-to-exploit-496098.shtml) i dettagli del bug agli ingegneri di Mountain View, mentre nulla si sa in merito all'eventuale premio in denaro che la corporation assegnerà al ricercatore.
A ricevere ulteriore conferma è in ogni caso l'importanza di eventi come il MobilePwn2Own, contest ad altissimo contenuto tecnico la cui sopravvivenza è però stata minacciata (http://punto-informatico.it/4268344/PI/News/pwn2own-attentato-alla-cybersicurezza.aspx) dalle autorità statunitensi e dalla loro volontà di gestire i bug di sicurezza come armi soggette a vincoli di esportazione.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4283553/PI/News/chrome-android-si-buca-un-click.aspx)