عاجل جدا: ثغرة في كروم تسمح للقراصنة بالتحكم في أي هاتف أندرويد

عاجل جدا: ثغرة في كروم تسمح للقراصنة بالتحكم في أي هاتف أندرويد
عاجل جدا: ثغرة في كروم تسمح للقراصنة بالتحكم في أي هاتف أندرويد

خلال المؤتمر الأمني PacSec الذي يقام بمدينة طوكيو اليابانية وخلال MobilePwn2Own، كشف الباحث الأمني غوانغ غونغ “Guang Gong” عن ثغرة طورها في أكثر من ثلاثة أشهر والتي إذا ما تم استغلالها يمكن التحكم في أي هاتف أندرويد بمجرد وصلة (رابط) عبر كروم.

هذه الثغرة التي لم يتم الكشف عن أية تفاصيل بشأنها بسبب مخاوف أمنية تستهدف النسخة 8 من جافاسكريبت (engine and could)، من الناحية النظرية تسمح للقراصنة الدخول إلى أي هاتف قام بالولوج إلى موقع خبيث.

لكن لحسن الحظ فقد تم تطوير الثغرة من طرف شخص وظيفته هي العثور على نقط الضعف وليس القرصنة في حد ذاتها، وهذا ما يعنيه “باحث أمني” بالضبط.

باستخدام هذا الاستغلال، تمكن “غوانغ غونغ” من السيطرة على مشروع Fi Nexus 6 وتثبيت تطبيق (BMX Bike) على الجهاز دون أي تدخل من المستخدم، وبسبب أن هذا الاستغلال وضع لجافا سكريبت يمكن إعادة بناءه ليعمل مع أي هاتف أندرويد آخر.

وكمكافئة له لعثوره على هذه الثغرة، فاز الباحث الأمني “غوانغ غونغ” برحلة إلى المؤتمر الأمني CanSecWest العام المقبل ومن المرجح أيضا أن يحصل على مكافئة أخرى من غوغل، وقد كان أحد أعضاء فريق غوغل الأمني حاضرا أثناء قيام الباحث بشرح الثغرة وسيأخذه إلى المقر لإعادة اختبار ومعالجة هذه الثغرة.

عن سعيد مولا

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *