一天又一天，又一个Android安全漏洞。

一名安全研究人员发现，安卓系统存在一个巨大的安全漏洞，攻击者可以远程劫持用户的设备，并在一次攻击中执行任意代码。

在东京举行的太平洋安全会议上，奇虎360研究员光公在MobilePwn2Own上展示了他的漏洞。龚没有透露该漏洞的细节，以防止恶意个人利用这些信息。然而，他确实表示，该漏洞针对的是JavaScript v8引擎，用户很容易通过打开恶意网站的链接而成为攻击者的牺牲品。

演示显示，b谷歌自己的Nexus 6安装了Android 6.0棉花糖，并在Project Fi上运行，很容易受到攻击。他的演示显示，龚成功地在Nexus 6上安装了一个任意的应用程序，特别是BMX Bike，而无需与设备进行物理交互。

“广的功绩最令人印象深刻的是，那只是一枪。”说PacSec的组织者Dragos Ruiu对The Register的Vulture South说。“如今，大多数人不得不利用几个漏洞来获得特权访问权限，并在没有交互的情况下加载软件。”

由于该漏洞利用了JavaScript引擎，Ruiu表示，它可以很容易地重新编码，用于攻击地球上几乎所有的Android设备。

Ruiu说:“最新版本Chrome使用的浏览器应该可以在所有Android手机上运行。“我们专门检查了他的漏洞，但你可以针对任何Android目标重新编码，因为他攻击的是JavaScript引擎。”

一位b谷歌的安全工程师在会议上收到了这个漏洞，并将其带回山景城进行进一步测试，希望能尽快修复这个漏洞。由于发现该漏洞，预计龚还将通过谷歌的漏洞赏金计划获得一笔可观的奖金。2016年3月，Ruiu还将带龚前往温哥华的CanSecWest安检。

这并不是安全研究人员第一次在安卓系统中发现巨大而可怕的漏洞。最近几个月发现了许多漏洞，但其中最大的是怯场漏洞，攻击者可以通过发送消息来控制设备。

谷歌对不断涌入的Android安全漏洞的消息做出了回应，承诺将会发布每月安全补丁．不幸的是，这些定期更新只适用于其Nexus系列设备。大多数Android设备仍然很脆弱。

图片来源:Claudia Rahanmetan |Flickr