你的Chrome升级到最新的72版没?如果没有最好快点,因为安全公司披露从Android 4.4版以来的Chrome就存在的漏洞,可能让黑客窃取Android手机用户上网纪录、登录信息等重要数据。
这项漏洞是由俄国安全企业Positive Technologies研究员Sergey Toshin在今年一月发现并已通报Google。 Google已在一月发布修补该漏洞的Chrome 72.0 .3626.81版,但当时Google只是轻描淡写为“浏览器中政策执行不足”。
这项编号为CVE-2019-5765的漏洞是位在Android 4.4版本以后的Chromium引擎中,后者是Android的WebView一项组件,允许网页在Android app内显示网页。所有使用Chromium为核心的移动版浏览器,包括Google Chrome、Samsung Internet Browser、Yandex Browser都会受到影响。
研究人员指出,项漏洞可经由Instant app引发安全风险。这类app让手机用户不必下载也能试用。用户点击浏览器链接后,智能手机会下载一个小文件可像原生app般执行,它能访问手机硬件但不占用存储空间。当攻击者以instant app执行,就可在用户点击链接恶意app后拦截数据。
该项漏洞可让黑客从程序内存中取得敏感信息,包括上网纪录、app登录需要的验证权限和标头,以及其他数据。由于大部分Android app都有WebView,也使这项漏洞变得非常危险,被Google列为高风险漏洞。
从Android 7.0后,WebView已经由Google Chrome实例,因此只要更新浏览器即可修补漏洞。但早期版本的Android的WebView则必须经由Google Play安装。若Android手机用户没有Google Play服务,则需等手机企业发布WebView更新。