來自中國奇虎360的安全研究員Guang Gong在最新版本的安卓平臺Chrome瀏覽器中發現一個嚴重的0day漏洞，它允許攻擊者獲得受害者手機的全部管理員訪問權限，并且該漏洞的利用代碼能夠工作于所有版本的安卓系統上，即使你的設備運行著最新版本的安卓操作系統。

攻擊流程

黑客目前可以使用一種新的方式來攻擊你的安卓智能手機，并能夠遠程獲得安卓手機的完全控制權，即使你的設備運行著最新版本的安卓操作系統。這個利用代碼用到了JavaScript V8引擎中的一個漏洞，該引擎預裝在幾乎所有(百萬級)現代的和更新版本的安卓手機中。

攻擊者需要做的僅僅是誘使潛在受害者訪問一個網站，該網站中包含有針對Chrome瀏覽器的惡意利用代碼。一旦受害者訪問了這個網站，在無需與用戶進行任何交互的情況下，惡意程序就會利用Chrome中的漏洞安裝任何惡意應用，使得黑客能夠遠程獲取受害者手機的完整控制權。

漏洞影響

在今年東京舉辦的2015 PacSec大會中的MobilePwn2Own攻擊競賽中，Gong當場演示了如何利用這個安卓平臺Chrome瀏覽器中存在的漏洞。雖然這個0day漏洞不是駐留在安卓操作系統中，但是它能夠影響運行流行操作系統的移動設備。PacSec組織者Dragos Ruiu補充道，這個利用方法在其他移動設備上也能夠正常工作，因為它利用的漏洞存在于Chrome瀏覽器的JavaScript引擎中，這意味著它可能會影響所有安裝了谷歌最新Chrome瀏覽器的的安卓系統。

Ruiu在一篇Google+上的博文中說道：

“在離線狀態下，我們也在其他手機上測試了他的利用代碼，看起來它也能夠在很多其他設備上正常工作，所以我推測這是他投入開發的三個月所帶來的成果。”

然而，關于這個利用方法的完整技術細節目前還未公布，但是這位研究人員已經向谷歌報告了該漏洞，谷歌預計將向他支付一筆相當大的漏洞利用賞金。

為了安全考慮，在谷歌發布針對此漏洞的安全補丁之前，建議安卓用戶暫時使用其他瀏覽器。