yutian0 2019-03-23
Google在今年早些时候发布的Android例行安全更新中修复了Android WebView Web浏览器组件中的高风险安全漏洞。然而,在发现漏洞的研究人员披露漏洞之前,没有人知道漏洞的细节是什么以及危险是什么。此漏洞在年初立即提交给Google进行确认。根据漏洞的严重程度,Google会在当月立即进行更新,以阻止漏洞。
CVE-2019-5765 - 浏览器中的策略实施不足
WebView组件是Android中广泛使用的基本组件,允许开发人员调用组件并访问应用程序中的某些在线页面。使用Chromium引擎的Android浏览器(如Google Chrome,三星Internet浏览器和俄罗斯YANDEX浏览器)都会受到影响。同时,有问题的引擎广泛安装在Android 4.4及更高版本中,因此只要4.4及以上版本也会受到漏洞的影响。
Positive Technologies的网络安全弹性负责人Leigh-Anne Galloway描述了这一发现:“WebView组件在大多数Android移动应用程序中使用,这使得此类攻击非常危险。最明显的攻击方案涉及鲜为人知的第三方应用程序。在包含恶意负载的更新之后,此类应用程序可以从WebView读取信息。这样就可以访问浏览器历史记录,身份验证令牌和标题(通常用于在移动应用程序中登录)以及其他重要数据。“
攻击者可以使用此漏洞创建一个特殊的小文件来引导用户单击。这个小文件将被下载并像安装的应用程序一样运行。基于此漏洞利用的恶意文件可以直接访问WebView中的信息,例如保存的浏览历史记录,Cookie和其他重要数据。甚至每个应用程序的登录帐户和密码都可以直接被盗,因此这个漏洞对应用程序开发人员和用户来说相对有害。
Google已在年初的常规更新中修复此漏洞,前提是用户能够接收更新,或者无法完全修复漏洞。对于已使用Android 7.0及更高版本的用户,他们可以直接更新Google Chrome。 Google Chrome已实施未受影响的WebView版本。