在东京的一场 PacSec 骇客会议中,来自奇虎 360 的研究员龚广示范了利用一个存在于 Android 版 Chrome 浏览器中,针对 JavaScript v8 的漏洞。只要使用者浏览恶意网站,骇客将不需要像典型的例子般需要多个漏洞,而只利用这单一漏洞即可对任何 Android 手机进行攻击,取得访问权限和下载软件。
PacSec 组织者 Dragos Ruiu 向 Vulture South 指出,龚广所发现漏洞中,最让人大开眼界的是「一击致命」的特性,因为现时大多的攻击均需要多重的漏洞才能取得系统存取权和下载软件。这次的示范中,受害的手机只是在 Chrome 浏览器载入一个存有 JavaScript v8 漏洞的网页后,该漏洞就能在不需要使用者的任何操作下,自动下载游戏,代表骇客已经取得完全的控制权。有关的漏洞已经上报予谷歌,希望他们作为系统的最大持份者,会正视问题,并在短时间内修复漏洞吧!