研究人員發(fā)現(xiàn)了谷歌Chromium瀏覽器中的一個(gè)關(guān)鍵漏洞，可用于竊取個(gè)人數(shù)據(jù)。Positive Technologies研究員謝爾蓋·托申去年12月發(fā)現(xiàn)了這個(gè)漏洞并于1月份向谷歌披露了這個(gè)漏洞，幾周后該漏洞修補(bǔ)了漏洞。沒有跡象表明它被積極利用，但考慮到漏洞的廣泛影響，很難確定。

這個(gè)漏洞在1月份的谷歌補(bǔ)丁說明中被簡(jiǎn)要披露，僅被描述為一個(gè)高度嚴(yán)重的漏洞，“策略執(zhí)行不充分。”在Positive Technologies的一份新報(bào)告之后，我們現(xiàn)在知道該漏洞影響了Android的WebView組件，這是常用的在Android應(yīng)用中顯示頁面。更廣泛地說，該漏洞存在于谷歌的Chromium引擎中，它存在于Android 4.4及更高版本的所有版本中。

“惡意有效載荷”

黑客可能通過將用戶鏈接到惡意即時(shí)應(yīng)用程序來利用此漏洞，該應(yīng)用程序?qū)⑦\(yùn)行可訪問手機(jī)硬件的小文件。從那里，攻擊者可以攔截用戶數(shù)據(jù)。“在包含惡意負(fù)載的更新之后，此類應(yīng)用程序可以從WebView讀取信息。這使得能夠訪問瀏覽器歷史記錄，通常用于在移動(dòng)應(yīng)用程序中登錄的身份驗(yàn)證令牌以及其他重要數(shù)據(jù)，“Positive Technologies的網(wǎng)絡(luò)安全彈性負(fù)責(zé)人Leigh-Anne Galloway說。

任何運(yùn)行Android 7.0及更高版本的用戶都應(yīng)該在1月份更新他們的Google Chrome瀏覽器，而運(yùn)行早期版本的Android的用戶必須通過Google Play更新WebView。沒有Google Play的Android用戶必須等待設(shè)備制造商的更新。