奇虎360的一名安全研究员关公在安卓版谷歌Chrome浏览器中发现了一个安全漏洞,并在东京举行的PacSec安全会议上进行了演示。
关公表示,他在跟每个Chrome安装绑定的V8 JS引擎中发现了这个漏洞。V8是用C 和C++语言编写的JS编译器,负责解释浏览器中的JS代码,在执行前将其转换成机器代码,从而获取额外的速度。
利用允许攻击者在受害者手机上安装app
关公并未透露利用的相关详情,不过在演示中,他使用了一个普通的安卓手机访问了一个利用安全漏洞的恶意链接,在手机上安装了另外一款app,全程没有任何用户交互。跟其它的Chrome利用不同,关公发现的这个漏洞并不需要将多个漏洞链接起来或者获取根权限后才能实施。
谷歌正在提供修复方案
一名谷歌工程师在会后立即与关公却得联系,而且有人表示Chrome团队已经准备好了修复方案。谷歌表示这个漏洞可通过最新的Chrome版本利用,而且从理论上来讲应该适用于所有的安卓版本。
由于利用并未对外公开,攻击详情也只是披露给谷歌的员工。关公有望获得安卓漏洞奖励。他能得到的最高奖赏是3万美元,不过目前尚不得知其它的技术详情,因此这只是猜测。