Google ha appena fissato a tre anni vulnerabilità in Chrome per Android. La vulnerabilità è stata originariamente scoperto maggio 2015, ma c'è voluto un po 'per Google per valutare la minaccia e il suo potenziale.
In 2015, i ricercatori hanno scoperto che Nightwatch sicurezza informatica “browser Chrome di Google per Android tende a rivelare informazioni che possono essere utilizzate per identificare l'hardware del dispositivo è in esecuzione su". Il problema è ancora più grave perché molte applicazioni su Android Chrome uso WebView o Chrome schede personalizzate per rendere il contenuto. In breve, si tratta di un problema di sicurezza serio che potrebbe esporre i diversi tipi di informazioni sul dispositivo tramite il browser Chrome.
Per essere più precisi tecnicamente, il browser Chrome, WebView e le schede per Android rivelano informazioni sul modello hardware, versione del firmware e patch di sicurezza a livello del dispositivo corrispondente. In aggiunta, applicazioni che utilizzano Chrome per eseguire il rendering dei contenuti web sono anche colpiti, i ricercatori hanno detto. Il problema qui è che questa informazione può essere sfruttato per tenere traccia degli utenti e delle impronte digitali i loro dispositivi. Inoltre, attaccanti possono anche scoprire le vulnerabilità del dispositivo è esposto, e questo potrebbe rendere un processo sfruttare abbastanza facile effettuare.
Google ha rifiutato di trattare la vulnerabilità
Si scopre che Google ha respinto la segnalazione iniziale, i ricercatori preparati in 2015. MITRE, inoltre, non ha assegnato la vulnerabilità CVE un numero perché hanno ritenuto di non essere collegata alla sicurezza.
Ciò nonostante, Google ha rilasciato una correzione parziale, nel mese di ottobre 2018 per Chrome v70. Un rapporto Nightwatch sicurezza aggiornata dice che:
La correzione nasconde le informazioni del firmware, pur mantenendo l'identificatore modello hardware. Tutte le versioni precedenti si ritiene di essere colpiti. Gli utenti sono invitati ad aggiornare alla versione 70 o più tardi. Dal momento che questa correzione non si applica ai WebView utilizzo, gli sviluppatori di applicazioni dovrebbero sostituire manualmente la configurazione User Agent nelle loro applicazioni.
Cosa dovrebbero fare gli utenti?
Gli utenti dovrebbero considerare aggiornare i loro dispositivi Android a Chrome v70 per affrontare la questione. Per quanto riguarda gli sviluppatori di app, essi dovrebbero utilizzare il WebSettings.setUserAgent() metodo per impostare l'override l'agente utente, rapporto dei ricercatori dice.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: