Google修復(fù)了Android版Chrome瀏覽器中的漏洞

Google悄悄地修復(fù)了Android的Chrome瀏覽器中的一個安全漏洞，該漏洞最初是在三年前報告的。

據(jù)ZDNet報道，該漏洞是2015年5月在Nightwatch Cyber??security的漏洞發(fā)現(xiàn)者中發(fā)現(xiàn)的，但是直到Google的安全人員意識到這實際上是一個威脅之后，該漏洞才得以解決。

該缺陷意味著移動瀏覽器會泄漏有關(guān)其所運行設(shè)備的信息，包括硬件型號和固件版本以及安全補丁程序級別。Chrome for Desktop不會遇到相同的問題。

太多信息

瀏覽器會將各種信息發(fā)送到Web服務(wù)器，作為其正常操作的一部分，包括瀏覽器本身，當(dāng)前正在運行的其他應(yīng)用程序和操作系統(tǒng)的詳細信息。不幸的是，Android版Chrome也發(fā)送了設(shè)備名稱(例如C6606)和固件版本。

設(shè)備名稱可能看起來是隨機的，但它與特定的設(shè)備型號相關(guān)，并且可以在隨時可用的列表中輕松在線找到。例如，設(shè)備名稱C6606將為Sony XperiaZ。

這本身就是安全問題，但是隨之而來的泄漏的固件詳細信息是最大的問題。

Nightwatch Cyber??security表示：“對于許多設(shè)備，它不僅可以用于識別設(shè)備，還可以識別在其上運行的運營商以及來自該國的運營商。” “可以從制造商和電話運營商的網(wǎng)站(例如該網(wǎng)站)輕松獲得內(nèi)部編號。”

內(nèi)部版本號還可以告訴攻擊者設(shè)備的安全補丁程序級別，從而使他們知道攻擊者可能容易受到哪些攻擊。

谷歌于2018年10月發(fā)布了Chrome 70的部分修復(fù)程序，但瀏覽器仍發(fā)布設(shè)備名稱，并且兩個Android組件(包括WebView，這是Facebook之類的應(yīng)用所使用的內(nèi)置瀏覽器)仍然泄漏了固件內(nèi)部版本號。