安卓4.4及后续版本被曝漏洞，登录凭证和浏览历史可遭窃取

雷锋网 (公众号：雷锋网) 3月21日消息，研究人员发现运行安卓 4.4 或后续版本的智能手机及其相关设备中存在漏洞，该漏洞允许黑客使用恶意软件窃取网站登录令牌并监控用户的浏览历史。

据悉，该漏洞存在于 Chromium （谷歌的开源网络浏览器项目）引擎和 WebView （供应用程序渲染 web 内容）中。起初，WebView只是一个单独组件，而在7.0版本之后Chrome 通过 Chromium 引擎实现了开启 WebView功能。根据操作系统的不同， WebView需要从两个独立补丁路径中进行选择，这也加大了漏洞的危害性。

因此，当用户在Chrome 浏览器中调用 WebView功能或者使用Chromium 浏览器时，恶意应用可通过WebView组件无需权限访问浏览器数据，包括认证令牌和浏览器历史。例如，恶意开发人员可购买合法非恶意的程序，在未修复设备上推出利用该缺陷的更新。

研究人员称，攻击者可以远程监测明确的日志写入路径或者覆写文件。但是，攻击者无法随意修改文件格式，因为恶意软件很可能激活植入到Chrome浏览器中的探查器从而遭到禁用。

PositiveTechnologies 公司的研究员 Sergey Toshin称，漏洞存在于安卓版本的 Chrome 浏览器中，在发现漏洞CVE-2019-5765之后，第一时间将情况告知了谷歌。得到消息后，谷歌于二月份发布了补丁，故将详情公之于众。

对于安卓7.0以前的版本，则需要自行更新 WebView，而如果智能手机上没有谷歌应用商店服务的用户，则需要等待设备厂商推出 WebView 更新。

参考来源：代码卫士

。