На днях стало известно, что пользователи гаджетов на ОС Android на протяжении нескольких лет рисковали своими личными данными. Речь идет об ошибке в коде браузерного движка Chromium, которую удалось исправить только в начале 2019 года.
Проблема была обнаружена Сергеем Тошиным, сотрудником компании Positive Technologies. Он дал подробные комментарии только в марте, после того, как недоработка была исправлена производителем и протестирована.
Chromium – это движок, лежащий в основе работы браузера Chrome, обеспечивающий предпросмотр страниц различных сторонних приложений через Web View. Начиная с 2015 года, рабочая версия позволяла злоумышленникам получать личную информацию от пользователей – историю посещений, рабочие сессии банковских приложений и мессенджеров.
Компонента Web View используется при открытии файлов самых разных приложений, и, как правило, пользователи доверяют ей гораздо больше, нежели самим браузерам. В связи с этим мошенники могли без проблем подменивать ссылки в самом приложении, отправляя пользователя на сторонние подменные сайты и используя личные данные в корыстных целях.
Обнаруженная угроза касается гаджетов, работающих на Android c версией, старше, чем 6.0.1. Для предотвращения уязвимости браузера пользователям таких устройств необходимо установить Android System WebView с Play Market вручную. Более новое программное обеспечение автоматически устранило ошибку при январском обновлении.
На данный момент не сообщается о том, использовался ли обнаруженный пробел в корыстных целях злоумышленников, и как производитель отреагировал на публичное обнародование информации сотрудником Positive Technologies.
Источник: