Уязвимость в движке Chromium для Android

По сообщению Positive Technologies, выявлена критически опасная уязвимость в актуальных версиях ОС Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка, обнаруженная в компоненте WebView, позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps). Специалисты Google оценили уровень опасности данной уязвимости (CVE-2019-5765) как высокий.

WebView – компонент платформы Android, который дает возможность отображать веб-страницы внутри Android-приложения. Проблема обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4. Уязвимость также угрожает пользователям мобильных браузеров на базе Chromium, таких как Google Chrome, Samsung Internet, Яндекс.Браузер.

Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением.

Как поясняют эксперты Positive Technologies, поскольку компонент WebView используется в большинстве мобильных приложений Android, атаки на него весьма опасны. Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки и другие данные.

В настоящее время уязвимость устранена в Google Chrome 72. Пользователям Android рекомендуется проверить версию браузера на своих устройствах.