全球人工智能与机器人峰会 CCF-GAIR 2019
                    您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
                    网络安全 正文
                    发私信给灵火K
                    发送

                    0

                    安卓4.4及后续版本被曝漏洞,登录凭证和浏览历史可遭窃取

                    本文作者:灵火K 2019-03-21 21:21
                    ?#21152;錚?#36895;更!

                    雷锋网(公众号:雷锋网)3月21日消息,研究人员发现运行安卓 4.4 或后续版本的智能手机及其相关设备中存在漏洞,该漏洞?#24066;?#40657;客使用恶意软件窃取网站登录令牌并监控用户的浏览历史。

                    安卓4.4及后续版本被曝漏洞,登录凭证和浏览历史可遭窃取

                    据悉,该漏洞存在于 Chromium (谷歌的开源网络浏览器项目)引擎和 WebView (供应用程序渲染 web 内容)中。起初,WebView只是一个单?#38647;?#20214;,而在7.0版本之后Chrome 通过 Chromium 引擎实现了开启 WebView功能。根据操作系统的不同, WebView需要从两个独立补丁路径中进行选择,这也加大了漏洞的危害性。

                    因此,当用户在Chrome 浏览器中调用 WebView功能或者使用Chromium 浏览器时,恶意应用可通过WebView组件无需权限访问浏览器数据,包括认证令牌和浏览器历史。例如,恶意开发人员可购买合法非恶意的程序,在未修复设备上推出利用该缺陷的更新。

                    研究人员称,攻击者可以远程监测明确的日志写入路径或者覆写文件。但是,攻击者无法随意修改文件格式,因为恶意软件很可能激活植入到Chrome浏览器中的探查器从而遭到禁用。

                    PositiveTechnologies 公司的研究员 Sergey Toshin称,漏洞存在于安卓版本的 Chrome 浏览器中,在发现漏洞CVE-2019-5765之后,第一时间将情况告知了谷歌。得到消息后,谷歌于二月份发布了补丁,?#24335;?#35814;情公之于众。

                    对于安卓7.0以前的版本,则需要自行更新 WebView,而如果智能手机上没有谷歌应用商店服务的用户,则需要等待设备厂商推出 WebView 更新。

                    参考来源:代码卫士

                    雷锋网原创文章,未经授权禁止转载。详情见转载须知

                    分享:
                    相关文章

                    文章点评:

                    表情
                    最新文章
                    请填写申请人资料
                    姓名
                    电话
                    邮箱
                    微信号
                    作品链接
                    个人简介
                    为了您的账户安全,请验证邮箱
                    您的邮箱还未验证,完成可获20积分哟!
                    请验证您的邮箱
                    立即验证
                    完善账号信息
                    您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
                    立即设置 以后再说
                    捷豹时时彩分分彩网站