您的位置: 首頁 >產(chǎn)經(jīng) >

Google修復(fù)了Android版Chrome瀏覽器中的漏洞

2019-12-16 17:15:47 編輯: 來源:
導(dǎo)讀 Google悄悄地修復(fù)了Android的Chrome瀏覽器中的一個(gè)安全漏洞,該漏洞最初是在三年前報(bào)告的。據(jù)ZDNet報(bào)道,該漏洞是2015年5月在Nightwatch C

Google悄悄地修復(fù)了Android的Chrome瀏覽器中的一個(gè)安全漏洞,該漏洞最初是在三年前報(bào)告的。

據(jù)ZDNet報(bào)道,該漏洞是2015年5月在Nightwatch Cyber??security的漏洞發(fā)現(xiàn)者中發(fā)現(xiàn)的,但是直到Google的安全人員意識到這實(shí)際上是一個(gè)威脅之后,該漏洞才得以解決。

該缺陷意味著移動(dòng)瀏覽器會(huì)泄漏有關(guān)其所運(yùn)行設(shè)備的信息,包括硬件型號和固件版本以及安全補(bǔ)丁程序級別。Chrome for Desktop不會(huì)遇到相同的問題。

太多信息

瀏覽器會(huì)將各種信息發(fā)送到Web服務(wù)器,作為其正常操作的一部分,包括瀏覽器本身,當(dāng)前正在運(yùn)行的其他應(yīng)用程序和操作系統(tǒng)的詳細(xì)信息。不幸的是,Android版Chrome也發(fā)送了設(shè)備名稱(例如C6606)和固件版本。

設(shè)備名稱可能看起來是隨機(jī)的,但它與特定的設(shè)備型號相關(guān),并且可以在隨時(shí)可用的列表中輕松在線找到。例如,設(shè)備名稱C6606將為Sony XperiaZ。

這本身就是安全問題,但是隨之而來的泄漏的固件詳細(xì)信息是最大的問題。

Nightwatch Cyber??security表示:“對于許多設(shè)備,它不僅可以用于識別設(shè)備,還可以識別在其上運(yùn)行的運(yùn)營商以及來自該國的運(yùn)營商。” “可以從制造商和電話運(yùn)營商的網(wǎng)站(例如該網(wǎng)站)輕松獲得內(nèi)部編號。”

內(nèi)部版本號還可以告訴攻擊者設(shè)備的安全補(bǔ)丁程序級別,從而使他們知道攻擊者可能容易受到哪些攻擊。

谷歌于2018年10月發(fā)布了Chrome 70的部分修復(fù)程序,但瀏覽器仍發(fā)布設(shè)備名稱,并且兩個(gè)Android組件(包括WebView,這是Facebook之類的應(yīng)用所使用的內(nèi)置瀏覽器)仍然泄漏了固件內(nèi)部版本號。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。