一個新的 Android 漏洞在 Pwn2Own 駭客競賽被發表,而令人訝異的是這次漏洞是由 Google 內建的 Chrome 瀏覽器所造成,只要用戶開啟瀏覽器瀏覽網頁,就可以任意安裝應用程式。由於不需要透過與使用者互動來實現入侵,因此用戶很難發現裝置被駭入。
Android 被發現 Chrome 瀏覽器存在一個嚴重漏洞(圖片來源/法新社)
根據《Gsmarena》的報導,由奇虎 360 開發者 Guang Gong 所發現的這個漏洞,存在於 Android 版的 Chrome 瀏覽器中的 JavaScript v8 引擎中。雖然沒有公開漏洞細節,但他指出由於這個漏洞可以「一次突破」,不同於過去漏洞需要通過層層控管才能獲得權限,這項漏洞可以直接在不需要使用者的情況下,獲得完整的控制權,並且讓裝置下載應用程式。
這項漏洞的嚴重性,源自於該漏洞可以輕易入侵,並且無須透過使用者互動(圖片來源/法新社)
這意味著用戶可能在不知情的情況下,就讓遠端駭客透過這個漏洞控制手機。目前這個漏洞內容已經交由 Google 處理,由於是在未公開細節下回報此問題,預期 Guang Gong 可以獲得一份不錯的抓蟲賞金。