雷鋒網(wǎng)3月21日消息，研究人員發(fā)現(xiàn)運(yùn)行安卓 4.4 或后續(xù)版本的智能手機(jī)及其相關(guān)設(shè)備中存在漏洞，該漏洞允許黑客使用惡意軟件竊取網(wǎng)站登錄令牌并監(jiān)控用戶(hù)的瀏覽歷史。

據(jù)悉，該漏洞存在于 Chromium （谷歌的開(kāi)源網(wǎng)絡(luò)瀏覽器項(xiàng)目）引擎和 WebView （供應(yīng)用程序渲染 web 內(nèi)容）中。起初，WebView只是一個(gè)單獨(dú)組件，而在7.0版本之后Chrome 通過(guò) Chromium 引擎實(shí)現(xiàn)了開(kāi)啟 WebView功能。根據(jù)操作系統(tǒng)的不同， WebView需要從兩個(gè)獨(dú)立補(bǔ)丁路徑中進(jìn)行選擇，這也加大了漏洞的危害性。

因此，當(dāng)用戶(hù)在Chrome 瀏覽器中調(diào)用 WebView功能或者使用Chromium 瀏覽器時(shí)，惡意應(yīng)用可通過(guò)WebView組件無(wú)需權(quán)限訪問(wèn)瀏覽器數(shù)據(jù)，包括認(rèn)證令牌和瀏覽器歷史。例如，惡意開(kāi)發(fā)人員可購(gòu)買(mǎi)合法非惡意的程序，在未修復(fù)設(shè)備上推出利用該缺陷的更新。

研究人員稱(chēng)，攻擊者可以遠(yuǎn)程監(jiān)測(cè)明確的日志寫(xiě)入路徑或者覆寫(xiě)文件。但是，攻擊者無(wú)法隨意修改文件格式，因?yàn)閻阂廛浖芸赡芗せ钪踩氲紺hrome瀏覽器中的探查器從而遭到禁用。

PositiveTechnologies 公司的研究員 Sergey Toshin稱(chēng)，漏洞存在于安卓版本的 Chrome 瀏覽器中，在發(fā)現(xiàn)漏洞CVE-2019-5765之后，第一時(shí)間將情況告知了谷歌。得到消息后，谷歌于二月份發(fā)布了補(bǔ)丁，故將詳情公之于眾。

對(duì)于安卓7.0以前的版本，則需要自行更新 WebView，而如果智能手機(jī)上沒(méi)有谷歌應(yīng)用商店服務(wù)的用戶(hù)，則需要等待設(shè)備廠商推出 WebView 更新。

參考來(lái)源：代碼衛(wèi)士

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。