Peneliti keamanan, Guang Gong, berhasil menemukan sebuah celah keamanan di browser Google Chrome untuk Android. Celah ini memungkinkan penyerang untuk mengambil alih ponsel seseorang, jika mereka mengklik URL website yang berisi kode berbahaya.
Menurut yang dilaporkan laman The Register, setelah mendapatkan kontrol ponsel tersebut, penyerang nantinya bisa men-download aplikasi tambahan ke perangkat yang terinfeksi tanpa sepengetahuan pengguna.
Eksploitasi celah ini dipamerkan di kontes hacking MobilePwn2Own pada konferensi PacSec 2015 yang berlangsung di Tokyo. Namun sayang Gong tidak mengungkapnya secara detail.
Terkait celah keamanan tersebut, Gong menemukan kerentanan pada JavaScript v8 engine. Kerentanan ini bisa dijumpai pada semua versi sistem operasi Android jika pengguna mengunjungi situs web berbahaya.. Bahkan pada smartphone terbaru Nexus 6 sekalipun.
“Begitu ponsel mengakses website berbahaya, celah JavaScript v8 di Google Chrome bisa digunakan untuk menginstal aplikasi tanpa interaksi pengguna,” katanya.
Gong mengatakan ia membutuhkan waktu tiga bulan untuk menemukan celah tersebut. Salah seorang engineer keamanan di Google kabarnya telah mengetahui keberadaan bugini.
“Hal mengesankan dari eksploitasi Gong adalah bahwa ini hanya memerlukan satu serangan; kebanyakan orang saat ini harus mengeksploitasi beberapa celah untuk bisa mendapatkan akses istimewa dan menjalankan software tanpa interaksi pengguna,” kata organizer PacSec, Dragos Ruiu.
Atas temuannya ini, Ruiu mengatakan ada kemungkinan bahwa Google akan memberikan reward berupa uang melalui program bug bounty. Gong juga akan diberangkatkan ke konferensi keamanan CanSecWest pada Maret 2016.
Sumber: liputan6.com
