近日Google Chromium曝出一个可以读取安卓用户个人数据的漏洞。研究人员于去年12月发现该漏洞,此漏洞允许黑客使用恶意软件窃取网站登录令牌并监控用户的浏览历史,今年1月谷歌已经为安卓版本 Chrome 的用户提供了相应补丁。
据悉,该漏洞影响的是WebView 这样通用的安卓组件。因此 4.4 版以来的任何安卓版本、使用相同引擎的其它浏览器都可能存在该数据泄露问题,如果不进行组件更新黑客很容易进行利用。
WebView组件用于大多数安卓移动应用,这使得此类攻击非常危险。攻击者可以利用该漏洞,获得对受害手中的设备最稳定、最长期的访问权限。还能欺骗用户点击一个恶意链接,获得更多不适当的设备访问权限,然后通过安卓的Instant App功能打开这个恶意链接。
起初,WebView只是一个单独组件,而在7.0版本之后Chrome 通过 Chromium 引擎实现了开启 WebView功能。根据操作系统的不同,WebView需要从两个独立补丁路径中进行选择,这也加大了漏洞的危害性。
攻击者可以对安卓设备上任何基于Chrome开发的移动浏览器发起攻击,并从其WebView中检索用户的数据。而且安卓在世界各地的不同环境和价格区间内分布非常广泛,根据现实情况来看,老版本安卓设备仍将在相当长的一段时间内进行使用。
谷歌还指出,该公司并没有发布针对Android 4.4版本系统的补丁,因为该操作系统已经运行了五年多,而且目前在全球只有极少数设备还在运行该版本系统。对于安卓7.0以前的版本,则需要自行更新 WebView,而如果智能手机上没有谷歌应用商店服务的用户,则需要等待设备厂商推出 WebView 更新。