В ОС Android найдена опасная уязвимость
Основная проблема кроется в работе модуля WebView.
Компания Positive Technologies обнаружила многолетнюю уязвимость в ОС Android, благодаря которой злоумышленники потенциально могут получить доступ к важной информации на смартфоне — от истории посещений в браузерах до сессий мессенджеров и банковских приложений. В настоящее время уязвимость устранена в Google Chrome 72. Пользователям рекомендуется проверить версию браузера на своих устройствах.
Критически опасная уязвимость выявлена в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps). Специалисты Google оценивают уровень опасности данной уязвимости (CVE-2019-5765) как высокий.
«Компонент WebView сегодня используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны, — отмечает специалист группы исследований безопасности мобильных приложений Positive Technologies Сергей Тошин. — Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные».
WebView — компонент платформы Android, который дает возможность отображать веб-страницы внутри Android-приложения. Проблема обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4. Уязвимость также угрожает пользователям мобильных браузеров на базе Chromium, таких как Google Chrome, Samsung Internet, Яндекс.Браузер.
«Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер, — отмечает Сергей Тошин. — На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства».
Отмечается, что помимо смартфонов, уязвимы также другие Android-устройства.