安卓4.4及後續版本被曝漏洞，登錄憑證和瀏覽歷史可遭竊取

雷鋒網3月21日消息，研究人員發現運行安卓 4.4 或後續版本的智能手機及其相關設備中存在漏洞，該漏洞允許黑客使用惡意軟體竊取網站登錄令牌並監控用戶的瀏覽歷史。

據悉，該漏洞存在於 Chromium （谷歌的開源網路瀏覽器項目）引擎和 WebView （供應用程序渲染 web 內容）中。起初，WebView只是一個單獨組件，而在7.0版本之後Chrome 通過 Chromium 引擎實現了開啟 WebView功能。根據操作系統的不同， WebView需要從兩個獨立補丁路徑中進行選擇，這也加大了漏洞的危害性。

因此，當用戶在Chrome 瀏覽器中調用 WebView功能或者使用Chromium 瀏覽器時，惡意應用可通過WebView組件無需許可權訪問瀏覽器數據，包括認證令牌和瀏覽器歷史。例如，惡意開發人員可購買合法非惡意的程序，在未修復設備上推出利用該缺陷的更新。

研究人員稱，攻擊者可以遠程監測明確的日誌寫入路徑或者覆寫文件。但是，攻擊者無法隨意修改文件格式，因為惡意軟體很可能激活植入到Chrome瀏覽器中的探查器從而遭到禁用。

PositiveTechnologies 公司的研究員 Sergey Toshin稱，漏洞存在於安卓版本的 Chrome 瀏覽器中，在發現漏洞CVE-2019-5765之後，第一時間將情況告知了谷歌。得到消息後，谷歌於二月份發布了補丁，故將詳情公之於眾。

對於安卓7.0以前的版本，則需要自行更新 WebView，而如果智能手機上沒有谷歌應用商店服務的用戶，則需要等待設備廠商推出 WebView 更新。

參考來源：代碼衛士

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！