谷歌瀏覽器漏洞本可以讓黑客竊取個人數據

研究人員發現了谷歌Chromium瀏覽器中的一個關鍵漏洞，可用于竊取個人數據。Positive Technologies研究員謝爾蓋·托申去年12月發現了這個漏洞并于1月份向谷歌披露了這個漏洞，幾周后該漏洞修補了漏洞。沒有跡象表明它被積極利用，但考慮到漏洞的廣泛影響，很難確定。

這個漏洞在1月份的谷歌補丁說明中被簡要披露，僅被描述為一個高度嚴重的漏洞，“策略執行不充分。”在Positive Technologies的一份新報告之后，我們現在知道該漏洞影響了Android的WebView組件，這是常用的在Android應用中顯示頁面。更廣泛地說，該漏洞存在于谷歌的Chromium引擎中，它存在于Android 4.4及更高版本的所有版本中。

“惡意有效載荷”

黑客可能通過將用戶鏈接到惡意即時應用程序來利用此漏洞，該應用程序將運行可訪問手機硬件的小文件。從那里，攻擊者可以攔截用戶數據。“在包含惡意負載的更新之后，此類應用程序可以從WebView讀取信息。這使得能夠訪問瀏覽器歷史記錄，通常用于在移動應用程序中登錄的身份驗證令牌以及其他重要數據，“Positive Technologies的網絡安全彈性負責人Leigh-Anne Galloway說。

任何運行Android 7.0及更高版本的用戶都應該在1月份更新他們的Google Chrome瀏覽器，而運行早期版本的Android的用戶必須通過Google Play更新WebView。沒有Google Play的Android用戶必須等待設備制造商的更新。