Chrome 存在資料洩漏問題,谷歌更新說明卻沒提
Google Chromium 曝出一個可以讀取安卓使用者個人資料的漏洞。
該漏洞由 Positive Technologies 的研究員 Sergey Toshin 於去年 12 月發現,在今年 1 月其向谷歌報告之後,谷歌已經為安卓版本 Chrome 的使用者提供了相應補丁。
該漏洞已被收錄為 CVE-2019-5765,等級為高危。
Sergey 指出,該漏洞影響的是 WebView 這樣通用的安卓元件,因此 4.4 版以來的任何安卓版本、使用相同引擎的其它瀏覽器都可能存在該資料洩露問題,如果不進行元件更新黑客很容易進行利用。
“WebView 元件用於大多數安卓移動應用,這使得此類攻擊非常危險,惡意程式碼可以從 WebView 讀取資訊,可以訪問瀏覽器歷史記錄、身份驗證令牌和頭部資訊以及其它重要資料。”同為 Positive Technologies 的安全專家解釋到。
然而,根據 softpedia 的報導 ,谷歌在更新說明中並沒有正面提到修復了該漏洞,只是將其描述為瀏覽器中的策略執行不足。