Der chinesische Entwickler Guang Gong hat auf der Sicherheitskonferenz Pacsec in Tokio einen Exploit präsentiert, der über den Google-Browser Chrome offenbar weitreichenden Zugriff auf ein Android-Smartphone ermöglicht. Gong glaubt, dass der Bug Millionen Geräte betrifft, da die Sicherheitslücke die aktuelle Version von Chrome betrifft. Nähere Details gab der Entwickler nicht an, der Angriff dürfte jedoch über die JavaScript-v8-Engine erfolgen.

Präparierte Website

Über eine präparierte Website kann der Angreifer umfassenden Zugriff auf das Google-Smartphone erhalten. Vorgeführt wurde der Exploit auf einem Nexus 6. Gong installierte nach erfolgreichem Zugriff ein Spiel – der Besitzer selbst bekommt davon nichts mit. Insgesamt drei Monate soll die Entwicklung des Exploits laut dem chinesischen Sicherheitsforscher gedauert haben.

Details für Google-Entwickler

Für den Veranstalter sei es besonders eindrucksvoll, dass Gongs Hack nur eine einzige Sicherheitslücke ausnützt und einen derart umfassenden Zugriff erlaubt. Bei der Konferenz war auch ein Google-Entwickler anwesend, der mit näheren Details vertraut wurde. Dadurch soll die Schwachstelle in Bälde geschlossen werden. (dk, 14.11.2015)