Una vez más, se ha descubierto una nueva vulnerabilidad para el sistema operativo de Google que podría permitir que alguien se hiciera con el control de nuestro dispositivo. En esta ocasión ha sido descubierta por un investigador de Quihoo 360, la empresa de software conocida por sus antivirus, y ha sido expuesta en el evento MobilePwn2Own de PacSec.
Se trata de un exploit, que aunque no han entrado en detalle de cómo funciona internamente, sería capaz de tomar el control de un terminal a partir de visitar una dirección web aparentemente normal desde el navegador Chrome. Según afirma Guang Gong, que es como se llama el investigador, el desarrollo de este exploit le ha llevado tres meses de desarrollo y pruebas para finalmente dar con la manera de demostrar esta vulnerabilidad Android.
Lo sorprendente del hecho es la facilidad con la que un dispositivo puede ser infectado, tal y como demostraron sobre un Nexus 6, que tras visitar una dirección web que contenía el script malicioso, se pudo ver como Guang asumía el control del dispositivo de Google y utilizaba este agujero de seguridad para instalar un juego en el terminal.
Además, el propio investigador aseguró que este exploit, que se aprovecha de una vulnerabilidad en el motor V8 JavaScript, debería funcionar en cualquier dispositivo Android independientemente de la versión del sistema operativo con la que cuente ya que atenta directamente contra el motor de JavaScript.
Parece que por lo tanto Google tienen una nueva tarea entre sus manos, ya que tendrá que poner a su equipo de investigación y desarrollo a trabajar sobre esta vulnerabilidad, que recordemos podría afectar a cualquier dispositivo Android de una manera especialmente sencilla y efectiva. Según el organizador del evento celebrado ayer en Tokio, el investigador será recompensado seguramente por parte del gigante buscador por su descubrimiento, que según un equipo de Alemania, también habrían conseguido probarlo con éxito sobre un teléfono Samsung.
De esta forma, un nuevo tipo de vulnerabilidad estaría salpicando a Google, afectando a su sistema operativo y navegador para dispositivos móviles, tan sólo dos días después de que un nuevo informe asegurase de que las vulnerabilidades en las aplicaciones para dispositivos iOS eran más peligrosas que las encontradas y probadas en las aplicaciones desarrolladas para la plataforma Android.