Op de MobilePwn2Own-beveiligingscompetitie tijdens de PacSec-conferentie in Tokio toonde een onderzoeker een exploit voor Chrome op Android. Volgens hem zijn alle Android-toestellen vatbaar voor deze kwetsbaarheid, die gebruikmaakt van de V8-javascript-engine.
The Register meldt dat de exploit gebruikmaakt van een enkele kwetsbaarheid, in tegenstelling tot vele exploits die verscheidene kwetsbaarheden gebruiken. De aan het securitybedrijf Qihoo 360 verbonden onderzoeker, Guang Gong, deed er naar eigen zeggen drie maanden over om de exploit te ontwikkelen. Hij demonstreerde de exploit op een Nexus 6.
Zodra de onderzoeker een bepaalde website bezocht, kon er een willekeurige applicatie geïnstalleerd worden zonder enige interactie met de gebruiker, vertelde de PacSec-organisator aan de Australische tak van The Register. In een update laat de site weten dat volgens de onderzoeker alle Android-versies met de nieuwste versie van Chrome vatbaar zijn.
De details van de kwetsbaarheid in de opensource-V8-engine van Google zijn niet bekendgemaakt. Wel heeft een securityonderzoeker van Google die ter plekke aanwezig was details over de werking ontvangen. Het is onduidelijk of Guang Gong in aanmerking komt voor een beloning via een van Googles reward programmes.