你的Chrome升級到最新的72版沒?如果沒有最好快點,因為安全公司揭露從Android 4.4版以來的Chrome就存在的漏洞,可能讓駭客竊取Android手機用戶上網紀錄、登入資訊等重要資料。

這項漏洞是由俄國資安業者Positive Technologies研究員Sergey Toshin在今年一月發現並已通報Google。Google已在一月釋出修補該漏洞的Chrome 72.0.3626.81版,但當時Google只是輕描淡寫為「瀏覽器中政策執行不足」。

這項編號為CVE-2019-5765的漏洞是位在Android 4.4版本以後的Chromium引擎中,後者是Android的WebView一項元件,允許網頁在Android app內顯示網頁。所有使用Chromium為核心的行動版瀏覽器,包括Google Chrome、Samsung Internet Browser、Yandex Browser都會受到影響。

研究人員指出,項漏洞可經由Instant app引發安全風險。這類app讓手機用戶不必下載也能試用。用戶點選瀏覽器連結後,智慧型手機會下載一個小檔案可像原生app般執行,它能存取手機硬體但不佔用儲存空間。當攻擊者以instant app執行,就可在用戶點選連結惡意app後攔截資料。

該項漏洞可讓駭客從程序記憶體中取得敏感資訊,包括上網紀錄、app登入需要的驗證權杖和標頭,以及其他資料。由於大部份Android app都有WebView,也使這項漏洞變得非常危險,被Google列為高風險漏洞。

從Android 7.0後,WebView已經由Google Chrome實作,因此只要更新瀏覽器即可修補漏洞。但早期版本的Android的WebView則必須經由Google Play安裝。若Android手機用戶沒有Google Play服務,則需等手機業者釋出WebView更新。


Advertisement

更多 iThome相關內容