Google heeft een onderzoeker 112.500 dollar betaald voor een exploit waarmee het mogelijk was om op afstand code op Pixel-smartphones uit te voeren. De onderzoeker gebruikte in totaal twee verschillende kwetsbaarheden in Android en de V8-browserengine van Chrome om de aanval te laten slagen.
Via de exploit kon onderzoeker Guang Gong uit de sandbox van Chrome breken en code op het toestel uitvoeren. Alleen het bezoeken van een kwaadaardige website in Chrome was voldoende om willekeurige code in de system_server te injecteren. Gong rapporteerde de kwetsbaarheden en exploit in augustus vorig jaar aan Google.
In september volgde een Chrome-update voor de kwetsbaarheid in de V8-browserengine. Begin december werd het beveiligingslek in het Android-besturingssysteem gepatcht. Android-toestellen met patchniveau 2017-12-05 of nieuwer zijn tegen de kwetsbaarheid beschermd. Google heeft nu de details van de kwetsbaarheden en exploit gepubliceerd en meldt dat het maatregelen neemt om het Android-platform tegen soortgelijke beveiligingslekken te beschermen.
Deze posting is gelocked. Reageren is niet meer mogelijk.