Google heeft zojuist bevestigd een drie jaar oude kwetsbaarheid in Chrome voor Android. De kwetsbaarheid werd oorspronkelijk ontdekt mei 2015, maar het duurde een tijdje voor Google om de dreiging en het potentieel ervan te evalueren.
In 2015, Nightwatch Cybersecurity onderzoekers ontdekten dat “Google's Chrome-browser voor Android heeft de neiging om informatie die kan worden gebruikt om de hardware van het apparaat waarop het draait identificeren openbaren". De kwestie is nog ernstiger omdat veel applicaties op Android gebruik Chrome WebView of Chrome Custom Tabs om content te maken. Kortom, Het is een serieus beveiligingsprobleem dat verschillende soorten informatie over het apparaat kunnen blootstellen via de Chrome-browser.
Om meer technisch precies te zijn, de Chrome-browser, WebView en Tabs voor Android onthullen informatie over de hardware model, firmware-versie en beveiligingspatch niveau van het betreffende apparaat. Bovendien, applicaties die Chrome gebruiken om web content te maken worden ook beïnvloed, aldus de onderzoekers. Het probleem hier is dat deze informatie kan worden benut om gebruikers te volgen en hun apparaten vingerafdruk. Bovendien, aanvallers kunnen ook ontdekken de kwetsbaarheden van het apparaat wordt blootgesteld aan, en dit kan een exploit proces vrij eenvoudig uit te voeren maken.
Google weigerde om de Vulnerability Treat
Het blijkt dat Google verwierp de eerste bug report de onderzoekers opgesteld in 2015. MITRE ook niet de kwetsbaarheid wijs een CVE-nummer omdat ze vonden het was niet gerelateerd aan de veiligheid.
Niettemin, Google gaf een gedeeltelijke oplossing in oktober 2018 voor Chrome v70. Een geactualiseerd verslag Nightwatch Veiligheid zegt dat:
De fix verbergt de firmware informatie met behoud van de hardware model identifier. Alle vorige versies worden verondersteld te worden beïnvloed. Gebruikers worden aangemoedigd om te upgraden naar versie 70 of later. Aangezien deze correctie is niet van toepassing op het gebruik Webview, app-ontwikkelaars moeten handmatig en de User Agent configuratie in hun apps overschrijven.
Wat moet Gebruikers hoeven?
Gebruikers moeten overwegen om hun Android-apparaten op Chrome v70 om het probleem aan te pakken. Zoals voor app-ontwikkelaars, moeten zij de WebSettings.setUserAgent gebruiken() methode om de override stellen de gebruikersagent, verslag van de onderzoekers zegt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: