导读 研究人员在谷歌铬浏览器中发现了一个关键漏洞,该漏洞可用于窃取个人数据。积极科技(Positive Technologies)研究员谢尔盖托申(Sergei
研究人员在谷歌铬浏览器中发现了一个关键漏洞,该漏洞可用于窃取个人数据。积极科技(Positive Technologies)研究员谢尔盖托申(Sergei Toshen)在去年12月发现了这个漏洞,并于今年1月向谷歌披露,几周后修复。没有迹象表明它已被积极使用,但考虑到该漏洞的广泛影响,很难确定。
该漏洞在1月份的谷歌补丁描述中被简要披露,该描述仅被描述为高度严重的漏洞,“策略实施不足。”在积极科技的一份新报告后,我们现在知道这个漏洞影响了安卓的WebView组件,该组件通常用于在安卓应用程序中显示页面。更广泛地说,这个漏洞存在于谷歌的Chromium引擎中,并且存在于安卓4.4及更高版本的所有版本中。
“恶意负载”
黑客可能会通过将用户链接到恶意即时应用程序来利用此漏洞,这些应用程序将运行可以访问手机硬件的小文件。从那里,攻击者可以拦截用户数据。“此类应用程序可以在包含恶意负载的更新后从WebView读取信息。这使得能够访问浏览器历史记录、通常用于登录移动应用程序的身份验证令牌和其他重要数据,”积极科技公司网络安全弹性主管Leigh-Anne Galloway说。
任何运行安卓7.0及更高版本的用户都应该在1月份更新他们的谷歌Chrome浏览器,而运行安卓早期版本的用户必须通过谷歌Play更新WebView。没有谷歌Play的安卓用户必须等待设备制造商的更新。