Google har netop rettet en tre-årig sårbarhed i Chrome til Android. Sårbarheden blev oprindelig opdaget i maj 2015, men det tog et stykke tid for Google at vurdere truslen og dets potentiale.
I 2015, Nightwatch cybersikkerhed forskere opdagede, at ”Googles Chrome-browseren til Android har en tendens til at give oplysninger, der kan bruges til at identificere hardwaren i den enhed, det kører på". Spørgsmålet er endnu mere alvorligt, fordi mange applikationer på Android brug Chrome WebView eller Chrome brugerdefinerede faner til at gengive indhold. Kort, Det er et alvorligt sikkerhedsproblem, der kunne afsløre forskellige typer af oplysninger om enheden via Chrome-browseren.
For at være mere teknisk præcis, Chrome-browseren, WebView og faner til Android afsløre oplysninger om den hardware-modellen, firmwareversion og sikkerhed patch niveau for den tilsvarende enhed. Desuden, applikationer, der bruger Chrome til at gengive webindhold er også berørt, forskerne sagde. Spørgsmålet her er, at disse oplysninger kan udnyttes til at spore brugere og fingeraftryk deres enheder. Desuden, angribere kan også afdække de svagheder indretningen er udsat for, og dette kunne gøre en udnytte proces ganske let at udføre.
Google Nægtede at Behandl Sårbarhed
Det viser sig, at Google afviste den første fejlrapport forskerne udarbejdet i 2015. MITRE heller ikke tildele sårbarheden et CVE-nummer, fordi de følte, at det ikke var relateret til sikkerhed.
Ikke desto mindre, Google udsendte en delvis rettelse i oktober 2018 til Chrome v70. En opdateret Nightwatch Security rapport siger, at:
Rettelsen skjuler firmwaren oplysninger og samtidig bevare den hardware modelidentifikationen. Alle tidligere versioner menes at være påvirket. Brugere opfordres til at opgradere til version 70 eller senere. Da denne rettelse ikke gælder for WebView forbrug, app udviklere skal manuelt tilsidesætte User Agent konfiguration i deres apps.
Hvad skal brugerne gøre?
Brugere bør overveje at opdatere deres Android-enheder til Chrome v70 for at løse problemet. Som for app udviklere, de skal bruge den WebSettings.setUserAgent() metode til at indstille override brugeragenten, forskernes rapport siger.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: