Googleは、ChromeforAndroidの3年前の脆弱性を修正しました. この脆弱性はもともと5月に発見されました 2015, しかし、Googleが脅威とその可能性を評価するのにしばらく時間がかかりました.
の 2015, Nightwatch Cybersecurityの研究者は、次のことを発見しました。Android用のGoogleのChromeブラウザは、実行しているデバイスのハードウェアを識別するために使用できる情報を開示する傾向があります」. Android上の多くのアプリケーションは、Chrome WebViewまたはChromeカスタムタブを使用してコンテンツをレンダリングするため、この問題はさらに深刻です。. 要するに, これは深刻なセキュリティ問題であり、Chromeブラウザを介してデバイスに関するさまざまな種類の情報を公開する可能性があります.
より技術的に正確に, Chromeブラウザ, WebViewとTabsforAndroidは、ハードウェアモデルに関する情報を明らかにします, 対応するデバイスのファームウェアバージョンとセキュリティパッチレベル. 加えて, Chromeを使用してWebコンテンツをレンダリングするアプリケーションも影響を受けます, 研究者は言った. ここでの問題は、この情報を利用してユーザーを追跡し、デバイスのフィンガープリントを作成できることです。. さらに, 攻撃者は、デバイスがさらされている脆弱性を発見することもできます, これにより、エクスプロイトプロセスの実行が非常に簡単になる可能性があります.
Googleは脆弱性の扱いを拒否しました
Googleは、研究者が作成した最初のバグレポートを拒否したことが判明しました。 2015. MITERはまた、セキュリティに関連していないと感じたため、脆弱性にCVE番号を割り当てませんでした.
それにもかかわらず, Googleは10月に部分的な修正を発行しました 2018 Chromev70の場合. 更新されたナイトウォッチセキュリティレポートには、:
この修正により、ハードウェアモデル識別子を保持しながらファームウェア情報が非表示になります. 以前のすべてのバージョンが影響を受けると考えられています. ユーザーはバージョンにアップグレードすることをお勧めします 70 以上. この修正はWebViewの使用には適用されないため, アプリ開発者は、アプリのユーザーエージェント構成を手動でオーバーライドする必要があります.
ユーザーは何をすべきか?
この問題に対処するには、AndroidデバイスをChromev70に更新することを検討する必要があります. アプリ開発者は, WebSettings.setUserAgentを使用する必要があります() ユーザーエージェントのオーバーライドを設定するメソッド, 研究者の報告によると.