研究人员揭示了Chrome for Android中的高风险漏洞

Google在今年早些时候发布的Android例行安全更新中修复了Android WebView Web浏览器组件中的高风险安全漏洞。然而，在发现漏洞的研究人员披露漏洞之前，没有人知道漏洞的细节是什么以及危险是什么。此漏洞在年初立即提交给Google进行确认。根据漏洞的严重程度，Google会在当月立即进行更新，以阻止漏洞。

CVE-2019-5765  - 浏览器中的策略实施不足

WebView组件是Android中广泛使用的基本组件，允许开发人员调用组件并访问应用程序中的某些在线页面。使用Chromium引擎的Android浏览器（如Google Chrome，三星Internet浏览器和俄罗斯YANDEX浏览器）都会受到影响。同时，有问题的引擎广泛安装在Android 4.4及更高版本中，因此只要4.4及以上版本也会受到漏洞的影响。

Positive Technologies的网络安全弹性负责人Leigh-Anne Galloway描述了这一发现：“WebView组件在大多数Android移动应用程序中使用，这使得此类攻击非常危险。最明显的攻击方案涉及鲜为人知的第三方应用程序。在包含恶意负载的更新之后，此类应用程序可以从WebView读取信息。这样就可以访问浏览器历史记录，身份验证令牌和标题（通常用于在移动应用程序中登录）以及其他重要数据。“

攻击者可以使用此漏洞创建一个特殊的小文件来引导用户单击。这个小文件将被下载并像安装的应用程序一样运行。基于此漏洞利用的恶意文件可以直接访问WebView中的信息，例如保存的浏览历史记录，Cookie和其他重要数据。甚至每个应用程序的登录帐户和密码都可以直接被盗，因此这个漏洞对应用程序开发人员和用户来说相对有害。

Google已在年初的常规更新中修复此漏洞，前提是用户能够接收更新，或者无法完全修复漏洞。对于已使用Android 7.0及更高版本的用户，他们可以直接更新Google Chrome。 Google Chrome已实施未受影响的WebView版本。