研究人员公布已被谷歌修复的Chrome for Android(WebView)高危安全漏洞
谷歌在年初发布的安卓系统例行安全更新中已经修复Android WebView 网页浏览器组件的某个高危及安全漏洞。
不过当时并没有人知道这枚漏洞的具体细节是什么以及存在哪些危险,直到发现这枚漏洞的研究人员公布此漏洞。
这枚漏洞在年初被发现后也立即被提交到谷歌进行确认,基于漏洞的严重性谷歌在当月立即制作更新将漏洞封堵。
CVE-2019-5765 WebView 漏洞:
WebView 组件是安卓系统中被广泛使用的基础组件,该组件允许开发者在应用内调用组件并访问某些在线页面。
实际上这个组件就相当于是个浏览器只不过是预先内置的,而这个组件又是来源于谷歌浏览器安卓版的引擎之中。
使用Chromium引擎的安卓浏览器例如谷歌浏览器、三星互联网浏览器以及俄罗斯的YANDEX浏览器均受到影响。
同时该存在问题的引擎被广泛安装在Android 4.4及以上版本中,所以只要是4.4及以上版本也都会受到漏洞影响。
用来窃取用户的Cookie和各种登录密码:
恶意攻击者可以利用此漏洞制作特别的小文件引导用户点击,这个小文件下载后会像已安装的应用程序那样运行。
同时这个存在恶意行为的小文件可以访问硬件但不会占用设备上的存储空间,所以用户完全不会发现已遭到攻击。
基于此漏洞运行的恶意文件可以直接访问WebView中的信息,例如保存的浏览记录、Cookie 以及其他重要数据。
甚至是各个应用程序的登录账号和密码都可以被直接窃取,所以对于应用开发商和用户来说此漏洞危害相对较大。
2019年1月已经发布修复更新:
谷歌已经在年初的例行更新中将此漏洞修复,前提是用户能够接收到更新否则自然也无法将这枚漏洞彻底地修复。
对于已经使用Android 7.0及以上版本的用户来说直接更新谷歌浏览器即可,WebView已经通过谷歌浏览器实现。
而在早期版本的Android中必须依赖Google Play对WebView进行更新,如果已经安装谷歌服务已经会自动更新。
当然研究人员也提醒某些地区的用户无法使用Google Play相关服务, 所以应联系制造商询问是否发布固件更新。