Уязвимость в движке Google V8 JavaScript косвенно затрагивает многие Android-устройства, в том числе производства Huawei, LG, Motorola и Samsung.
Эта ошибка, затрагивающая версии Google V8 JavaScript с 3.20 по 4.2, была выявлена и устранена летом минувшего года, но все еще продолжает быть актуальной для многих Android-устройств.
По словам исследователей из Qihoo 360, уязвимость BadKernel дает возможность выполнять на Android-устройствах вредоносный код, используя уязвимые приложения, в которых применяется движок V8. В результате специалисты смогли дистанционно похитить информацию с устройства, управлять его камерой и осуществлять перехват SMS-сообщений. Для того, чтобы успешно воспользоваться уязвимостью, киберпреступники должны просто принудить жертву осуществить загрузку вредоносной веб-страницы.
BadKernel затрагивает не только устройства на базе Android, но и разнообразные приложения. Так, движок V8 является составной частью браузера Chromium, на базе которого осуществляется разработка других мобильных интернет-обозревателей. Кроме того, Google V8 JavaScript внедрен в компонент Android WebView, который применяется во многих популярных приложениях, включая Facebook, Gmail, Twitter и WeChat. Помимо этого, уязвимые версии WebView по умолчанию внедрены в Android 4.4.4-5.1.
Эксперты Trustlook Mobile Security составили перечень моделей смартфонов, версий операционной системы Android и браузеров, которые подвержены уязвимости BadKernel. Согласно информации компании, проблема затронула 41,48% смартфонов Samsung, 38,89% – Huawei, 26,67% – Motorola и 21,93% – LG.