Quando si leggono i commenti in fondo agli articoli di sicurezza, si trova sempre qualcuno che sostiene che basti un po' di sale in zucca per evitare problemi con il malware, ma le vulnerabilità riscontrate negli ultimi mesi dicono il contrario.
Dopo le gravi falle di Stagefright, infatti, in cui bastava ricevere un contenuto multimediale per scatenare l'inferno senza che l'utente potesse far nulla, è adesso il caso di una vulnerabilità scovata nel motore Javascript V8 di Chrome.
Guang Gong, un ricercatore della società cinese specializzata in sicurezza Quihoo 360, ha presentato alla conferenza internazionale PacSec il frutto di tre mesi di lavoro, impressionando molti di coloro che ascoltavano la sua presentazione.
Il punto cruciale di quanto dimostrato, senza scendere nei dettagli per evitare di rendere pubblica la vulnerabilità, è che non si tratta di una catena di bug che permette di ottenere i privilegi di root, ma un singolo errore che garantisce il controllo completo del dispositivo a chiunque sia in grado di confezionare una pagina HTML con i giusti accorgimenti.
Mentre parlava, Gong ha mostrato a tutti come bastasse collegarsi a una pagina web perché sul suo Nexus 6 venisse scaricato e installato un videogioco, senza che all'utente venisse richiesta alcuna autorizzazione né operazione particolare.
È molto facile pensare che invece del videogioco si potrebbe inviare un RAT o qualsiasi altro tipo di malware, senza destare alcun sospetto e cancellando tutte le tracce.
Google ha preso subito in carico la segnalazione e ci si aspetta che elargisca una ricompensa a Gong per non aver reso pubblici i dettagli su come sfruttare questa pericolosa falla.
Ammiriamo molto l'integrità morale del ricercatore perché, lo ricordiamo, la ricompensa che verrà elargita sarà sicuramente minima se confrontata con quanto alcune società più o meno lecite avrebbero pagato sul mercato nero per accedere a una tecnica così potente.
Che fare quindi in attesa che la falla venga chiusa? Tenere gli occhi ben aperti è indispensabile, ma potrebbe addirittura essere il caso di usare un browser alternativo per qualche tempo.