Ο ερευνητής, Guang Gong που εργάζεται για την Quihoo 360, αναφέρει ότι εντόπισε το bug στην μηχανή V8 JavaScript που έρχεται μαζί με κάθε εγκατάσταση Chrome. Το V8 είναι ένας JavaScript compiler γραμμένος σε C&C++, αρμόδιος για την ερμηνεία του κώδικα JS που τροφοδοτείται μέσα στον browser, μετατρέποντάς τον σε κώδικά μηχανής προτού το εκτελέσει και κερδίζοντας έτσι εξτρά ταχύτητα.
Ο Gong αρνήθηκε να παρέχει τεχνικές λεπτομέρειες σχετικά με το exploit του, αντ’ αυτού έκανε μια επίδειξη.
Κατά την διάρκεια του demo ο Gong χρησιμοποίησε ένα κανονικό τηλέφωνο Android για να αποκτήσει πρόσβαση στο κακόβουλο link, με το οποίο κατάφερε να κάνει το exploit, εγκατέστησε μια ακόμη εφαρμογή στο τηλέφωνο, χωρίς καμία άλλη αλληλεπίδραση με τον χρήστη.
Σε αντίθεση με άλλα αντίστοιχα Chrome exploits, η ευπάθεια που εντοπίστηκε από τον Gong απαιτούσε τον συνδυασμό πολλαπλών σφαλμάτων μαζί ώστε να αποκτηθούν δικαιώματα root.
H Google προσπαθεί ήδη να διορθώσει την ευπάθεια
Άμεσα κάποιος από τους μηχανικούς της Google ήρθε σε επικοινωνία με τον Gong μετά από την παρουσίαση και ήδη φήμες θέλουν την κολοσσό εταιρεία να επιχειρεί ήδη να επιλύσει το ζήτημα.
Ο Gong ανέφερε στο Register ότι η ευπάθεια μπορούσε να γίνει exploit μέσω της τελευταίας version του Chrome και θεωρητικά θα μπορούσε να λειτουργήσει και σε οποιαδήποτε version Android.
Απ’ την στιγμή που το exploit δεν έγινε δημόσια και υπήρξαν αποκλειστικές πληροφορίες μόνο προς το προσωπικό της εταιρείας, ο Gong ενδέχεται να επιβραβευθεί με bug bounty reward. Η υψηλότερη αμοιβή που θα μπορούσε να λάβει είναι $30,000, αλλά εφόσον δεν παρείχε τεχνικές λεπτομέρειες αυτό είναι μάλλον μια απλή εικασία.
Ο διοργανωτής της PacSec, Dragos Ruiu, αναφέρει ότι μέσα στις επόμενες μέρες, άλλη μια ομάδα προγραμματιστών από την Γερμανία έχει προγραμματιστεί να κάνει μια παρουσίαση αναφορικά με το πως παραβιάζεται ένα δημοφιλές τηλέφωνο της Samsung.