您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给灵火K
发送

0

安卓4.4及后续版本被曝漏洞,登录凭证和浏览历史可遭窃取

本文作者: 灵火K 2019-03-21 21:21
导语:速更!

雷锋网3月21日消息,研究人员发现运行安卓 4.4 或后续版本的智能手机及其相关设备中存在漏洞,该漏洞允许黑客使用恶意软件窃取网站登录令牌并监控用户的浏览历史。

安卓4.4及后续版本被曝漏洞,登录凭证和浏览历史可遭窃取

据悉,该漏洞存在于 Chromium (谷歌的开源网络浏览器项目)引擎和 WebView (供应用程序渲染 web 内容)中。起初,WebView只是一个单独组件,而在7.0版本之后Chrome 通过 Chromium 引擎实现了开启 WebView功能。根据操作系统的不同, WebView需要从两个独立补丁路径中进行选择,这也加大了漏洞的危害性。

因此,当用户在Chrome 浏览器中调用 WebView功能或者使用Chromium 浏览器时,恶意应用可通过WebView组件无需权限访问浏览器数据,包括认证令牌和浏览器历史。例如,恶意开发人员可购买合法非恶意的程序,在未修复设备上推出利用该缺陷的更新。

研究人员称,攻击者可以远程监测明确的日志写入路径或者覆写文件。但是,攻击者无法随意修改文件格式,因为恶意软件很可能激活植入到Chrome浏览器中的探查器从而遭到禁用。

PositiveTechnologies 公司的研究员 Sergey Toshin称,漏洞存在于安卓版本的 Chrome 浏览器中,在发现漏洞CVE-2019-5765之后,第一时间将情况告知了谷歌。得到消息后,谷歌于二月份发布了补丁,故将详情公之于众。

对于安卓7.0以前的版本,则需要自行更新 WebView,而如果智能手机上没有谷歌应用商店服务的用户,则需要等待设备厂商推出 WebView 更新。

参考来源:代码卫士

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

资深编辑

我就是我,是颜色不一样的焰火~
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说