Chrome浏览器0day使得数百万安卓设备遭受远程威胁

 
来自中国奇虎360的安全研究员Guang Gong在最新版本的安卓平台Chrome浏览器中发现一个严重的0day漏洞，它允许攻击者获得受害者手机的全部管理员访问权限，并且该漏洞的利用代码能够工作于所有版本的安卓系统上，即使你的设备运行着最新版本的安卓操作系统。

攻击流程

黑客目前可以使用一种新的方式来攻击你的安卓智能手机，并能够远程获得安卓手机的完全控制权，即使你的设备运行着最新版本的安卓操作系统。这个利用代码用到了JavaScript V8引擎中的一个漏洞，该引擎预装在几乎所有（百万级）现代的和更新版本的安卓手机中。

攻击者需要做的仅仅是诱使潜在受害者访问一个网站，该网站中包含有针对Chrome浏览器的恶意利用代码。一旦受害者访问了这个网站，在无需与用户进行任何交互的情况下，恶意程序就会利用Chrome中的漏洞安装任何恶意应用，使得黑客能够远程获取受害者手机的完整控制权。

漏洞影响

在今年东京举办的2015 PacSec大会中的MobilePwn2Own攻击竞赛中，Gong当场演示了如何利用这个安卓平台Chrome浏览器中存在的漏洞。虽然这个0day漏洞不是驻留在安卓操作系统中，但是它能够影响运行流行操作系统的移动设备。PacSec组织者Dragos Ruiu补充道，这个利用方法在其他移动设备上也能够正常工作，因为它利用的漏洞存在于Chrome浏览器的JavaScript引擎中，这意味着它可能会影响所有安装了谷歌最新Chrome浏览器的的安卓系统。

Ruiu在一篇Google+上的博文中说道：

“在离线状态下，我们也在其他手机上测试了他的利用代码，看起来它也能够在很多其他设备上正常工作，所以我推测这是他投入开发的三个月所带来的成果。”

然而，关于这个利用方法的完整技术细节目前还未公布，但是这位研究人员已经向谷歌报告了该漏洞，谷歌预计将向他支付一笔相当大的漏洞利用赏金。

为了安全考虑，在谷歌发布针对此漏洞的安全补丁之前，建议安卓用户暂时使用其他浏览器。