Un investigador chino de seguridad ha encontrado recientemente una vulnerabilidad en el navegador de Google Chrome para Android, que ha presentado recientemente durante el evento MobilePwn2Own en la conferencia de seguridad PacSec que tuvo lugar en Tokio, tal y como informan desde The Register. El investigador, con el nombre de Guan Gong y empleado de Quihoo 360, asegura que ha encontrado un error dentro del motor V8 JavaScript con el que viene equipado cada proceso de instalación del navegador Chrome. V8 es un compilador JavaScript escrito en lenguaje C & C++, que es el responsable para interpretar el código JS que alimenta al navegador. Al convertirlo en un código mecánico antes de ejecutarlo, gana velocidad extra al hacerlo. Gong, a pesar de asegurar que el problema existía, no quiso dar detalles técnicos sobre cómo ejecutar este exploit del navegador. Sin embargo, sí que realizó una demostración de cómo tenía lugar la vulnerabilidad en la versión app de Google Chrome. Durante esta demostración que enseñó el investigador, Gong utilizó un smartphone corriente con sistema operativo Android para acceder a un enlace que redirigía a contenido malicioso. Al hacerlo, se ponía en marcha este exploit de seguridad y se instalaba en el proceso otra app en el teléfono.
El problema reside en que esta app maliciosa se instala sin ningún tipo de aviso al usuario o de interacción por su parte, con lo que puede comprometer la seguridad de todo el terminal y los datos que el usuario pueda tener guardados en el mismo. Al contrario de lo que sucede con otros exploits similares de Chrome, esta vulnerabilidad que ha descubierto Gong no requiere enlazar diferentes bugs múltiples juntos para hacer que funcione o para ganar acceso a la root del teléfono. Al contrario, sólo requiere que el usuario abra un enlace malicioso para que se acabe instalando una app sin permiso del propietario y sin su consentimiento.
Google ya está trabajando en una solución para este problema
Después de que Gong pusiera en alerta a la comunidad con este anuncio, pues la seguridad es cada vez una de las preocupaciones más constantes de muchos usuarios, un ingeniero de Google se puso en contacto de forma inmediata con Gong tras su presentación. Los rumores indican que el equipo de Google podría estar trabajando ya en una solución a este peligroso bug.
Gong declaró al medio The Register que dicha vulnerabilidad podría darse al utilizar la última versión de Chrome y, en teoría, debería poder funcionar en cualquiera de las versiones de Android actuales.
Puesto que la información sobre el exploit no se ha hecho pública, y los detalles exclusivos los dio sólo el equipo de Google, es posible que Gong haya ganado una recompensa por encontrar este bug. La cantidad de dinero máxima que puede recibir es 30000 dólares, pero como no se desconocen detalles más técnicos es sólo una especulación.
