雷鋒網3月21日消息，研究人員發(fā)現(xiàn)運行安卓 4.4 或后續(xù)版本的智能手機及其相關設備中存在漏洞，該漏洞允許黑客使用惡意軟件竊取網站登錄令牌并監(jiān)控用戶的瀏覽歷史。

據悉，該漏洞存在于 Chromium （谷歌的開源網絡瀏覽器項目）引擎和 WebView （供應用程序渲染 web 內容）中。起初，WebView只是一個單獨組件，而在7.0版本之后Chrome 通過 Chromium 引擎實現(xiàn)了開啟 WebView功能。根據操作系統(tǒng)的不同， WebView需要從兩個獨立補丁路徑中進行選擇，這也加大了漏洞的危害性。

因此，當用戶在Chrome 瀏覽器中調用 WebView功能或者使用Chromium 瀏覽器時，惡意應用可通過WebView組件無需權限訪問瀏覽器數(shù)據，包括認證令牌和瀏覽器歷史。例如，惡意開發(fā)人員可購買合法非惡意的程序，在未修復設備上推出利用該缺陷的更新。

研究人員稱，攻擊者可以遠程監(jiān)測明確的日志寫入路徑或者覆寫文件。但是，攻擊者無法隨意修改文件格式，因為惡意軟件很可能激活植入到Chrome瀏覽器中的探查器從而遭到禁用。

PositiveTechnologies 公司的研究員 Sergey Toshin稱，漏洞存在于安卓版本的 Chrome 瀏覽器中，在發(fā)現(xiàn)漏洞CVE-2019-5765之后，第一時間將情況告知了谷歌。得到消息后，谷歌于二月份發(fā)布了補丁，故將詳情公之于眾。

對于安卓7.0以前的版本，則需要自行更新 WebView，而如果智能手機上沒有谷歌應用商店服務的用戶，則需要等待設備廠商推出 WebView 更新。

參考來源：代碼衛(wèi)士

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。