雷鋒網(wǎng)3月21日消息，研究人員發(fā)現(xiàn)運(yùn)行安卓 4.4 或后續(xù)版本的智能手機(jī)及其相關(guān)設(shè)備中存在漏洞，該漏洞允許黑客使用惡意軟件竊取網(wǎng)站登錄令牌并監(jiān)控用戶的瀏覽歷史。

據(jù)悉，該漏洞存在于 Chromium （谷歌的開源網(wǎng)絡(luò)瀏覽器項(xiàng)目）引擎和 WebView （供應(yīng)用程序渲染 web 內(nèi)容）中。起初，WebView只是一個(gè)單獨(dú)組件，而在7.0版本之后Chrome 通過 Chromium 引擎實(shí)現(xiàn)了開啟 WebView功能。根據(jù)操作系統(tǒng)的不同， WebView需要從兩個(gè)獨(dú)立補(bǔ)丁路徑中進(jìn)行選擇，這也加大了漏洞的危害性。

因此，當(dāng)用戶在Chrome 瀏覽器中調(diào)用 WebView功能或者使用Chromium 瀏覽器時(shí)，惡意應(yīng)用可通過WebView組件無需權(quán)限訪問瀏覽器數(shù)據(jù)，包括認(rèn)證令牌和瀏覽器歷史。例如，惡意開發(fā)人員可購買合法非惡意的程序，在未修復(fù)設(shè)備上推出利用該缺陷的更新。

研究人員稱，攻擊者可以遠(yuǎn)程監(jiān)測明確的日志寫入路徑或者覆寫文件。但是，攻擊者無法隨意修改文件格式，因?yàn)閻阂廛浖芸赡芗せ钪踩氲紺hrome瀏覽器中的探查器從而遭到禁用。

PositiveTechnologies 公司的研究員 Sergey Toshin稱，漏洞存在于安卓版本的 Chrome 瀏覽器中，在發(fā)現(xiàn)漏洞CVE-2019-5765之后，第一時(shí)間將情況告知了谷歌。得到消息后，谷歌于二月份發(fā)布了補(bǔ)丁，故將詳情公之于眾。

對于安卓7.0以前的版本，則需要自行更新 WebView，而如果智能手機(jī)上沒有谷歌應(yīng)用商店服務(wù)的用戶，則需要等待設(shè)備廠商推出 WebView 更新。

參考來源：代碼衛(wèi)士

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。