O Google acabou premiando um pesquisador de segurança por relatar uma série de falhas que podem ser exploradas nos smartphones Pixel.

Esta série foi divulgada em agosto de 2017 por Guang Gong do Alpha Team na Qihoo 360 Technology.

A cadeia de exploits gera duas CVE que são respectivamente CVE-2017-5116 e CVE-2017-1490 e foram enviadas para o Google através do programa de segurança de segurança Android (ASR).

“A cadeia de exploits explora duas falhas CVE-2017-5116 e CVE-2017-14904. Uma é relacionada ao Motor V8 que é usado para execução remota de códigos no processo de sandbox do Chrome. A CVE-2017-14904 é uma erro no módulo libgralloc do Android que é usado na sandbox do Chrome. Juntos esta cadeia de exploits pode ser usada para injetar código arbitrário no system_server através do acesso de uma URL no Chrome”, pode ser lido na análise publicada pelo Google.

Em uma cenário de ataque as vítimas podem ser levadas a uma URL através de um email ou mensagem no Whatsapp e a partir disto todo o seu dispositivo pode ser comprometido.

Gong foi premiado com US$105000 por esta cadeia de exploits e ainda recebeu um prêmio adicionado da US$750 pelo programa do Chrome Rewards.

O Google já resolveu as falhas no boletim de segurança de dezembro, onde foram resolvids ao todo 42 bugs.

Os dispositivos móveis e os dispositivos de parceiros que usam atualizações A/B já instalaram automaticamente as atualizações de segurança que resolvem as falhas.

“O Time de segurança do Android respondeu rapidamente ao nosso relatório e inclui a correção para estes dois erros na atualização de segurança de dezembro de 2017. O dispositivos suportados pelo Google e dispositivos com o patch de 2017-12-05 ou posterior já não tem mais estes problemas.” conclui o Google.

As recompensas globais de pagamento do ASR já são superiores a US$1,5 milhão até o momento com a equipe de pesquisa superior ganhando US$300000 para 118 relatórios de vulnerabilidade.

Via Security Affairs