安卓4.4及后續版本被曝漏洞，登錄憑證和瀏覽歷史可遭竊取

雷鋒網3月21日消息，研究人員發現運行安卓 4.4 或后續版本的智能手機及其相關設備中存在漏洞，該漏洞允許黑客使用惡意軟件竊取網站登錄令牌并監控用戶的瀏覽歷史。

據悉，該漏洞存在于 Chromium （谷歌的開源網絡瀏覽器項目）引擎和 WebView （供應用程序渲染 web 內容）中。起初，WebView只是一個單獨組件，而在7.0版本之后Chrome 通過 Chromium 引擎實現了開啟 WebView功能。根據操作系統的不同， WebView需要從兩個獨立補丁路徑中進行選擇，這也加大了漏洞的危害性。

因此，當用戶在Chrome 瀏覽器中調用 WebView功能或者使用Chromium 瀏覽器時，惡意應用可通過WebView組件無需權限訪問瀏覽器數據，包括認證令牌和瀏覽器歷史。例如，惡意開發人員可購買合法非惡意的程序，在未修復設備上推出利用該缺陷的更新。

研究人員稱，攻擊者可以遠程監測明確的日志寫入路徑或者覆寫文件。但是，攻擊者無法隨意修改文件格式，因為惡意軟件很可能激活植入到Chrome瀏覽器中的探查器從而遭到禁用。

PositiveTechnologies 公司的研究員 Sergey Toshin稱，漏洞存在于安卓版本的 Chrome 瀏覽器中，在發現漏洞CVE-2019-5765之后，第一時間將情況告知了谷歌。得到消息后，谷歌于二月份發布了補丁，故將詳情公之于眾。

對于安卓7.0以前的版本，則需要自行更新 WebView，而如果智能手機上沒有谷歌應用商店服務的用戶，則需要等待設備廠商推出 WebView 更新。

參考來源：代碼衛士

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。