Рекомендуем почитать:
Специалист группы исследований безопасности мобильных приложений Positive Technologies Сергей Тошин обнаружил критическую уязвимость (CVE-2019-5765) в компоненте WebView. Проблема позволяла злоумышленнику получить доступ к конфиденциальным данным пользователей Android (включая токены и историю браузера) через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps). Разработчики Google исправили баг и сообщили, что свидетельств его эксплуатации обнаружено не было.
Проблема была обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4 (KitKat). Уязвимость угрожала не только пользователям Android старше версии 4.4 (включая актуальные 7.0, 8.0 и 9.0) и Google Chrome, но и пользователям мобильных браузеров на базе Chromium, таких как Samsung Internet, Яндекс.Браузер и так далее.
«Компонент WebView сегодня используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны, — объясняет Сергей Тошин. — Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные».
Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением.
«Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер [до версии Google Chrome 72, прим. ред.], — отмечает Сергей Тошин. — На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства».
Читайте также
Последние новости