Android版ChromeのJavaScriptに、Android端末を乗っ取る事が出来る脆弱性

1: 番組の途中ですがアフィサイトへの\(^o^)/です (エーイモT SEbe-I1ty) 2015/11/18(水) 15:37:23.11 ID:xGL54NlqE.net BE:422186189-2BP(1501)

sssp://img.2ch.sc/ico/folder1_03.gif
ある中国人研究者が、「Chrome」ブラウザを介して「Android」搭載のモバイルデバイスを乗っ取ることができる
脆弱性を発見した。これによって、数百万人のユーザーがリスクに晒される可能性があるという。

東京で11月11~12日に開催された「PacSecセキュリティカンファレンス」で、Qihoo 360 Technologyの
研究者Guang Gong氏は、最新のアップデートが適用されたAndroidデバイスを、このゼロデイ脆弱性を利用
して乗っ取る方法を説明した。

Security Affairsの報道によれば、Guang氏はChromeブラウザを介して「V8 JavaScript Engine」の脆弱性を
利用する方法で、Googleのワイヤレス通信サービス「Project Fi」に対応した「Nexus 6」を乗っ取って見せたという。
このデバイスに搭載されているOSは、最新の「Android 6.0 Marshmallow」だった。

PacSecのチームメンバーであるDragos Ruiu氏がGoogle+に投稿した記事によれば、Guang氏は箱から出した
ばかりのRuiu氏の新しいデバイスを乗っ取って見せたという。し

かも、このデバイスは、OSだけでなく内蔵アプリも最新の状態にアップデートされていた。
Guang氏は、そのデバイスのChromeブラウザを使って、自身が作成した悪意あるウェブページを仕込んだウェブサーバにアクセスした。

すると、JavaScriptの脆弱性が利用されて任意のアプリケーションがインストールされ、デバイスのコントロールが
ユーザーから攻撃者の手に渡ってしまったという。ユーザーがこの悪意あるページで何も操作を行わなくても、
サイトにアクセスするだけで脆弱性が悪用された。

Gong氏の例では、任意のアプリケーションとしてBMX自転車ゲームのアプリが使われたが、理論的には、
正規のアプリに見せかけたどのようなサードパーティー製アプリにすることも可能だ。正規のちゃんとした
ソフトウェアを装った悪意あるアプリが、乗っ取り、データの窃盗、デバイスの監視といった攻撃活動を
隠すために利用されるケースはよく見られる。
http://japan.zdnet.com/article/35073617/2/

スポンサーリンク

2: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ daab-Rpm0) 2015/11/18(水) 16:59:17.42 ID:j3w3EvHc0.net
サイトにアクセスするだけで端末を乗っ取られる
そう、アンドロイドならね

 

4: 番組の途中ですがアフィサイトへの\(^o^)/です (スプー Sdf8-gQa4) 2015/11/18(水) 17:02:20.80 ID:eJS9TgAQd.net

昔iOSでもこんなのあったな
あっちはpdfだけどこっちはなんだろ

これでroot取れるようにしてくれ

 

5: 番組の途中ですがアフィサイトへの\(^o^)/です (スプー Sdf8-q8Yb) 2015/11/18(水) 17:03:07.70 ID:7Qzjg0gid.net
マジかよ Chrome使うのやめよ

 

7: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイW 02b7-q8Yb) 2015/11/18(水) 17:07:45.48 ID:dycgG8MU0.net
ワシはFirefox一筋70年

 

12: 番組の途中ですがアフィサイトへの\(^o^)/です (ラクラッペ MM41-q8Yb) 2015/11/18(水) 17:15:12.24 ID:Gxtvla88M.net
とりあえずJavaScript切った
どう不便になるのかわからんがー

 

13: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 8dc3-365v) 2015/11/18(水) 17:21:56.01 ID:SoRInXHO0.net
>>12
最新verではもう修正されてるぞ

 

14: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 13e1-x68H) 2015/11/18(水) 17:23:01.36 ID:c6i+L37e0.net
androidもアホみたいにオープンやってなきゃ
今頃iPhone消えてたろうに

スポンサーリンク

16: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 09cb-kunU) 2015/11/18(水) 17:27:06.67 ID:5YLURq7x0.net
ウイルス感染の9割はブラウザ関係だしな
javascriptとflashとjava切るのは常識

 

17: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ ed41-lGTS) 2015/11/18(水) 17:29:43.76 ID:PH12qVBU0.net
v8はjsを全部JITコンパイルするからな
つまりプロセス空間でchmod +xみたいなことをしまくってるわけだから
たまにどぎついセキュリティーホールが出てくる

引用元URL:http://maguro.2ch.sc/test/read.cgi/poverty/1447828643/

関連記事

online-storages

Dropboxって容量少ないし追加分は高いし、ぶっちゃけOneDriveとかの方が圧倒的にいいよね…

1: ビッグブーツ(空)@\(^o^)/ 2015/06/25(木) 18:50:08.02 I

記事を読む

PP_kikainosuichi500-thumb-750x500-167

ロボット管理職の下で働いた方が快適? 工科大学の研究結果

1: リバースネックブリーカー(茸)@\(^o^)/ 2014/08/26(火) 18:58:2

記事を読む

004_px400

格安SIMが使える「SIMフリーiPhone 6s」を確実に入手する方法

1: (`・ω・´)m9 (アウアウT Sa19-UxBS) 2015/09/18(金) 22:0

記事を読む

wpid-01_588x.jpg

バイドゥ(百度)「日本ベンチャー安かったから買っちゃった^^」

1: 野良ハムスター ★ 2015/06/08(月) 13:54:49.70 ID:???*.ne

記事を読む

wpid-img_46101_1.jpg

10万円の日本製iPhoneケース登場ww

1: ジャンピングエルボーアタック(catv?)@\(^o^)/ 2014/05/18(日) 1

記事を読む

company_blog

ブログに猥褻画像を乗せたブロガー13人、全国一斉摘発

1: ハーフネルソンスープレックス(東京都)@\(^o^)/ 2015/11/26(木) 19:

記事を読む

Apple-music

『Apple Music』本日から開始 月980円※3ヶ月無料

1: 河津落とし(京都府)@\(^o^)/ 2015/07/01(水) 00:33:35.15

記事を読む

BhC48N2

正直Excelさえあれば、Wordって必要無いよな?

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 5c16-OS0l) 20

記事を読む

yu_win10

「Windows 10」へのアップグレード、来年には「推奨される更新プログラム(自動インストール)」に“格上げ”へ

1: イス攻撃(東日本)@\(^o^)/ 2015/11/02(月) 13:43:04.90 I

記事を読む

wpid-B9Ee8BjCUAEI_Rc.jpg

佐賀・武雄市「iPad導入して授業受けさせるぞ!」→直前で恵安Androidタブ(1.5万円)に変更→授業崩壊

1: 断崖式ニードロップ(千葉県)@\(^o^)/ 2015/06/13(土) 08:31:32

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

  • Sorry. No data so far.

PAGE TOP ↑