16/11/2015
Podczas tegorocznego konkursu MobilePWn2Own, badacz Quihoo 360 zaprezentował atak na JavaScript v8, który na najnowszej wersji Androida i Chrome, po wejściu na złośliwego linka, powoduje zainstalowanie na telefonie użytkownika dowolnej aplikacji bez jakiejkolwiek interakcji z użytkownikiem.
Google już skontaktowało się z odkrywcą błędu. Nie wiadomo jednak, czy Quihoo 360 otrzyma nagrodę bug bounty. Warto także zaznaczyć, że w tym roku ze sponsoringu konkursu Pwn2Own wycofało się ZDI, a także Apple i Microsoft — ze względów na ograniczenia prawne dot. “exploitów”, które pojawiły się w USA (tzw. Wassenaar Arrangement).
A czy jest już na to łata?
Jeszcze nie, ale wkrótce wyjdzie razem z nowym backdoorem.
To już nie backdoor… to już samowolka.
Napiszcie proszę coś więcej o Wassermanem ageeement
Dlatego używam Dolphin Browser. Dobrze, że przesiadłem się na nią tydzień temu.
Dolphin Browser też pewnie korzysta z API udostępnionych przez wbudowaną w system Android przeglądarkę Chrome, więc zapewne też jest podatny.
sorry , dolphin browser to dziurawe g… – nie polecam – na tę chwilę nie ma dobrej przeglądarki na androida – chroma nie polecam z oczywistych powodów (możliwość wykonywania uprzywilejowanych komend w systemie android) – firefox ujdzie, ale powstrzymałbym się od instalacji dodatkowych wtyczek – kiedyś testowałem jedną wtyczkę , która miała robić niewiele , ale kodu… to miała tyle że mogła robić różne cuda w telefonie a szczególnie wyświetlać reklamy, te o wirusie i aktualizacjach … ;)