Google исправила уязвимость безопасности Chrome через три года после обнаружения

3 января 2019, 19:03
Google исправила уязвимость безопасности Chrome через три года после обнаружения

Google устранила критический баг в Chrome для Android, о котором стало известно более трёх лет назад, пишет TechRadar.

Уязвимость обнаружили баг-хантеры из Nightwatch Cybersecurity в мае 2015 года. Однако проблема оставалась нерешённой до момента, пока специалисты Google не поняли, что она несёт угрозу безопасности.

В процессе работы браузеры отправляют на веб-серверы различную информацию, например о себе, о запущенных приложениях и операционной системе, что считается нормальным. Но из-за бага в мобильном Chrome происходила утечка данных об устройстве, в том числе о его модели и прошивке. В десктопной версии такой проблемы нет.

Названия гаджетов, которые высылал Chrome для Android, были неполными (к примеру «C6606»), но по ним в готовых базах можно было легко найти точную модель (Sony Xperia Z).

Как подчёркивают в Nightwatch Cybersecurity, более опасным является раскрытие подробностей о микропрограммном обеспечении устройств. По ним часто можно вычислить поставщика и его страну. На сайтах производителей и поставщиков можно запросто получить номера сборки, а по ним — определить уровень безопасности смартфонов и уязвимость к отдельным видам атак.

Частичный патч вышел вместе с Chrome 70 в октябре 2018 года, но браузер по-прежнему высылает информацию о моделях устройств, а два компонента Android (включая встроенный браузер WebView) — номер билда прошивки.

Обсуждение