ADVERTISEMENT
近期安全領域真是熱鬧,不斷爆出簡易入侵的漏洞問題,日前奇虎 360 專家於 Pwn2Own 駭客競賽中展示,Android 系統安裝最新版 Chrome 瀏覽器所出現漏洞,惡意網頁在不需使用者互動的情況下,便能夠任意安裝應用程式。相較過去入侵手法需要一連串配合動作,這次爆出的漏洞相當容易實行。
日前於日本東京舉辦的 Pwn2Own 駭客競賽,奇虎 360 安全研究人員 Guang Gong 於會場中展示,以相當簡單的方法入侵 Android 系統裝置,只需最新版 Chrome 瀏覽器和惡意網頁,就能夠在不需使用者參與互動的情況下,於裝置中取得管理者權限並安裝應用程式。
在會場上,Guang Gong 示範如何在不需使用者互動的情況下,入侵 1 台包含最新版 Chrome 瀏覽器的 Nexus 6 手機。按照過往慣例,在 Google 釋出修正之前並未公布此項漏洞細節與詳細操作方式,示範當下使用 1 款 BMX 腳踏車遊戲,但事實上能夠安裝任何想安裝的應用程式,包含惡意軟體。
▲Android 系統市占率相當高的 Chrome 瀏覽器,被爆出 JavaScript v8 引擎弱點,能夠讓惡意人士獲得裝置最高權限。
展示時近一步說明,此漏洞存在於近期比較新的 Chrome 版本,影響範圍包含所有的 Android 版本和裝置。此項漏洞主要由 Chrome 內部 JavaScript v8 引擎弱點所造成,由於 JavaScript v8 的關係,造成有心人士能夠獲得被害人裝置的管理者權限,等於是將裝置的門戶大開。
負責組織與舉辦 PacSec 的 Dragos Ruiu 說道,Guang Gong 所發現的漏洞令人印象深刻,近期所發現的問題需要多種弱點結合,才能夠不須使用者參與的狀況下安裝軟體,但這個單一漏洞已可獨立運作。
Google 的安全工程師已經收到這個問題回報,Dragos Ruiu 也說 Google 很有可能因為 Guang Gong 未將此問題細節公開,而獲得 1 份抓蟲獎賞。但像其他安全研究人員一樣,並非為了賞金而投入研究,而是因為興趣好玩以及宣揚駭客活動的正當性。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!