业内新闻

安卓4.4及后续版本被曝漏洞,登录凭证和浏览历史可遭窃取

编辑/作者:安安 2019-03-21 我要评论

3月21日消息,研究人员发现运行安卓 4.4 或后续版本的智能手机及其相关设备中存在漏洞,该漏洞允许黑客使用恶意软件窃取网站登录令牌并监控用户的浏览历史。 据悉,...

  3月21日消息,研究人员发现运行安卓 4.4 或后续版本的智能手机及其相关设备中存在漏洞,该漏洞允许黑客使用恶意软件窃取网站登录令牌并监控用户的浏览历史。

安卓4.4及后续版本被曝漏洞,登录凭证和浏览历史可遭窃取

  据悉,该漏洞存在于 Chromium (谷歌的开源网络浏览器项目)引擎和 WebView (供应用程序渲染 web 内容)中。起初,WebView只是一个单独组件,而在7.0版本之后Chrome 通过 Chromium 引擎实现了开启 WebView功能。根据操作系统的不同, WebView需要从两个独立补丁路径中进行选择,这也加大了漏洞的危害性。

  因此,当用户在Chrome 浏览器中调用 WebView功能或者使用Chromium 浏览器时,恶意应用可通过WebView组件无需权限访问浏览器数据,包括认证令牌和浏览器历史。例如,恶意开发人员可购买合法非恶意的程序,在未修复设备上推出利用该缺陷的更新。

  研究人员称,攻击者可以远程监测明确的日志写入路径或者覆写文件。但是,攻击者无法随意修改文件格式,因为恶意软件很可能激活植入到Chrome浏览器中的探查器从而遭到禁用。

  PositiveTechnologies 公司的研究员 Sergey Toshin称,漏洞存在于安卓版本的 Chrome 浏览器中,在发现漏洞CVE-2019-5765之后,第一时间将情况告知了谷歌。得到消息后,谷歌于二月份发布了补丁,故将详情公之于众。

  对于安卓7.0以前的版本,则需要自行更新 WebView,而如果智能手机上没有谷歌应用商店服务的用户,则需要等待设备厂商推出 WebView 更新。

文章来源:雷锋网

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 第二届华为DIGIX安全攻防大赛正式开幕

    第二届华为DIGIX安全攻防大赛正式开幕

  • 严把网络安全关|CIS 2020天威诚信精彩亮相

    严把网络安全关|CIS 2020天威诚信精彩亮相

  • 鼎和保险公司荣获CIS2020中国网络安全创新年度金

    鼎和保险公司荣获CIS2020中国网络安全创新年度金

  • 通付盾荣登《2020中国网络安全产业100强》榜单

    通付盾荣登《2020中国网络安全产业100强》榜单