Google acaba fixa uma vulnerabilidade de três anos de idade no Chrome para Android. A vulnerabilidade foi descoberta originalmente em maio 2015, mas demorou um pouco para o Google para avaliar a ameaça e seu potencial.
No 2015, Pesquisadores de segurança cibernética do Nightwatch descobriram que "O navegador Chrome do Google para Android tende a divulgar informações que podem ser usadas para identificar o hardware do dispositivo em que está sendo executado”. O problema é ainda mais sério, porque muitos aplicativos no Android usam o Chrome WebView ou as guias personalizadas do Chrome para renderizar o conteúdo. Em resumo, é um grave problema de segurança que pode expor diferentes tipos de informações sobre o dispositivo pelo navegador Chrome.
Para ser tecnicamente mais preciso, o navegador Chrome, WebView e Tabs para Android revelam informações sobre o modelo de hardware, versão do firmware e nível do patch de segurança do dispositivo correspondente. além do que, além do mais, aplicativos que usam o Chrome para renderizar conteúdo da web também são afetados, os pesquisadores disseram. O problema aqui é que essas informações podem ser exploradas para rastrear usuários e imprimir seus dispositivos digitais.. Além disso, atacantes também podem descobrir as vulnerabilidades às quais o dispositivo está exposto, e isso poderia facilitar bastante a execução de um processo de exploração.
Google se recusou a tratar a vulnerabilidade
Acontece que o Google rejeitou o relatório inicial de erros que os pesquisadores prepararam 2015. O MITRE também não atribuiu um número CVE à vulnerabilidade, porque considerou que não estava relacionado à segurança.
Não obstante, Google emitiu uma correção parcial em outubro 2018 para Chrome v70. Um relatório atualizado do Nightwatch Security diz que:
A correção oculta as informações do firmware, mantendo o identificador do modelo de hardware. Acredita-se que todas as versões anteriores sejam afetadas. Os usuários são encorajados a atualizar para a versão 70 ou mais tarde. Como essa correção não se aplica ao uso do WebView, desenvolvedores de aplicativos devem substituir manualmente a configuração do User Agent em seus aplicativos.
O que os usuários devem fazer?
Os usuários devem considerar atualizar seus dispositivos Android para o Chrome v70 para solucionar o problema. Quanto aos desenvolvedores de aplicativos, eles devem usar o WebSettings.setUserAgent() método para definir a substituição do agente do usuário, o relatório dos pesquisadores diz.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: