Android版ChromeのJavaScriptに、Android端末を乗っ取る事が出来る脆弱性

1: 番組の途中ですがアフィサイトへの\(^o^)/です (エーイモT SEbe-I1ty) 2015/11/18(水) 15:37:23.11 ID:xGL54NlqE.net BE:422186189-2BP(1501)

sssp://img.2ch.sc/ico/folder1_03.gif
ある中国人研究者が、「Chrome」ブラウザを介して「Android」搭載のモバイルデバイスを乗っ取ることができる
脆弱性を発見した。これによって、数百万人のユーザーがリスクに晒される可能性があるという。

東京で11月11~12日に開催された「PacSecセキュリティカンファレンス」で、Qihoo 360 Technologyの
研究者Guang Gong氏は、最新のアップデートが適用されたAndroidデバイスを、このゼロデイ脆弱性を利用
して乗っ取る方法を説明した。

Security Affairsの報道によれば、Guang氏はChromeブラウザを介して「V8 JavaScript Engine」の脆弱性を
利用する方法で、Googleのワイヤレス通信サービス「Project Fi」に対応した「Nexus 6」を乗っ取って見せたという。
このデバイスに搭載されているOSは、最新の「Android 6.0 Marshmallow」だった。

PacSecのチームメンバーであるDragos Ruiu氏がGoogle+に投稿した記事によれば、Guang氏は箱から出した
ばかりのRuiu氏の新しいデバイスを乗っ取って見せたという。し

かも、このデバイスは、OSだけでなく内蔵アプリも最新の状態にアップデートされていた。
Guang氏は、そのデバイスのChromeブラウザを使って、自身が作成した悪意あるウェブページを仕込んだウェブサーバにアクセスした。

すると、JavaScriptの脆弱性が利用されて任意のアプリケーションがインストールされ、デバイスのコントロールが
ユーザーから攻撃者の手に渡ってしまったという。ユーザーがこの悪意あるページで何も操作を行わなくても、
サイトにアクセスするだけで脆弱性が悪用された。

Gong氏の例では、任意のアプリケーションとしてBMX自転車ゲームのアプリが使われたが、理論的には、
正規のアプリに見せかけたどのようなサードパーティー製アプリにすることも可能だ。正規のちゃんとした
ソフトウェアを装った悪意あるアプリが、乗っ取り、データの窃盗、デバイスの監視といった攻撃活動を
隠すために利用されるケースはよく見られる。
http://japan.zdnet.com/article/35073617/2/

スポンサーリンク

2: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ daab-Rpm0) 2015/11/18(水) 16:59:17.42 ID:j3w3EvHc0.net
サイトにアクセスするだけで端末を乗っ取られる
そう、アンドロイドならね

 

4: 番組の途中ですがアフィサイトへの\(^o^)/です (スプー Sdf8-gQa4) 2015/11/18(水) 17:02:20.80 ID:eJS9TgAQd.net

昔iOSでもこんなのあったな
あっちはpdfだけどこっちはなんだろ

これでroot取れるようにしてくれ

 

5: 番組の途中ですがアフィサイトへの\(^o^)/です (スプー Sdf8-q8Yb) 2015/11/18(水) 17:03:07.70 ID:7Qzjg0gid.net
マジかよ Chrome使うのやめよ

 

7: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイW 02b7-q8Yb) 2015/11/18(水) 17:07:45.48 ID:dycgG8MU0.net
ワシはFirefox一筋70年

 

12: 番組の途中ですがアフィサイトへの\(^o^)/です (ラクラッペ MM41-q8Yb) 2015/11/18(水) 17:15:12.24 ID:Gxtvla88M.net
とりあえずJavaScript切った
どう不便になるのかわからんがー

 

13: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 8dc3-365v) 2015/11/18(水) 17:21:56.01 ID:SoRInXHO0.net
>>12
最新verではもう修正されてるぞ

 

14: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 13e1-x68H) 2015/11/18(水) 17:23:01.36 ID:c6i+L37e0.net
androidもアホみたいにオープンやってなきゃ
今頃iPhone消えてたろうに

スポンサーリンク

16: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 09cb-kunU) 2015/11/18(水) 17:27:06.67 ID:5YLURq7x0.net
ウイルス感染の9割はブラウザ関係だしな
javascriptとflashとjava切るのは常識

 

17: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ ed41-lGTS) 2015/11/18(水) 17:29:43.76 ID:PH12qVBU0.net
v8はjsを全部JITコンパイルするからな
つまりプロセス空間でchmod +xみたいなことをしまくってるわけだから
たまにどぎついセキュリティーホールが出てくる

引用元URL:http://maguro.2ch.sc/test/read.cgi/poverty/1447828643/

関連記事

https---www.pakutaso.com-assets_c-2015-01-PAK88_tsurareneko20150109081309500-thumb-1000xauto-5867

Appleクック 「Googleは個人情報を金に換えるのをやめろ」

1: キン肉バスター(庭)@\(^o^)/ 2015/06/06(土) 12:19:02.72

記事を読む

https---www.pakutaso.com-assets_c-2015-08-150403156901-thumb-1000xauto-18958

不倫サイトCEO、会員情報流出で引責辞任

1: 海江田三郎 ★ 2015/08/29(土) 14:38:04.49 ID:???.net

記事を読む

wpid-main.png

春から大学生、天才灘高生Tehu君すごすぎww

1: アイアンフィンガーフロムヘル(愛知県)@\(^o^)/ 2014/04/26(土) 10:

記事を読む

https---www.pakutaso.com-assets_c-2015-06-TSU93_kyousousyakai-thumb-autox1000-18134

VAIOの社長更迭される

1: チキンウィングフェースロック(福島県)@\(^o^)/ 2015/06/15(月) 06:

記事を読む

disorganized-network-1

【悲報】Windows10、Windows Update時にP2Pで行う

1: 風吹けば名無し@\(^o^)/ 2015/08/05(水) 13:31:52.85 ID:B

記事を読む

https---www.pakutaso.com-assets_c-2015-05-YOTA85_husaiyou215135819-thumb-1000xauto-14196

デカイ画像上げる時は、ちゃんとリサイズしてから上げろよ! ネットの常識だぞ

1: アキレス腱固め(秋田県)@\(^o^)/ 2015/07/19(日) 21:49:35.7

記事を読む

wpid-locohighglossy05.jpg

「よく使う電子マネー」 1位Edy、2位nanaco、3位Suica

1: エメラルドフロウジョン(大阪府)@\(^o^)/ 2015/06/01(月) 18:40:

記事を読む

wpid-B9Ee8BjCUAEI_Rc.jpg

佐賀・武雄市「iPad導入して授業受けさせるぞ!」→直前で恵安Androidタブ(1.5万円)に変更→授業崩壊

1: 断崖式ニードロップ(千葉県)@\(^o^)/ 2015/06/13(土) 08:31:32

記事を読む

https---www.pakutaso.com-assets_c-2015-05-MS251_nazedekinai-thumb-1000xauto-15176

東芝、HDD容量を10倍増しにする記録技術を実証! 実用化は2025年

1: サソリ固め(宮城県)@\(^o^)/ 2015/07/09(木) 23:36:26.10

記事を読む

wpid-AS20140523004733_comm.jpg

GREEが万屋になろうとしてるんだがwww

1: 北村ゆきひろ ★ 2014/05/25(日) 00:28:36.62 ID:???.net

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

PAGE TOP ↑