Lỗ hổng trong Ứng dụng tức thì của Android có thể được sử dụng để đánh cắp lịch sử, mã thông báo xác thực

0
38

            Tính năng Ứng dụng tức thì của Google cho phép bạn dùng thử ứng dụng trước khi cài đặt chúng, mặc dù lỗ hổng cho phép kẻ tấn công lạm dụng tính năng này để đánh cắp dữ liệu.
        

            
                                                                             
            
            

                 [19459] ] ]
    

     LineageOS 16 nguồn mở dựa trên Android 9.0 Pie cải thiện sự riêng tư và bảo mật
     Điện thoại hỗ trợ LineageOS có thể tận hưởng trải nghiệm Android sạch hơn, dễ dự đoán hơn với các bản vá bảo mật thường được phân phối nhanh hơn phiên bản Android mặc định trên nhiều điện thoại.
    

    

Một lỗ hổng trong thành phần WebView của Android cho phép kẻ tấn công ăn cắp cookie và thu thập thông tin cá nhân, bao gồm cả lịch sử duyệt web và xác thực mã thông báo theo nhà nghiên cứu bảo mật của Tích cực công nghệ Serge Toshin. Lỗ hổng, được chỉ định là CVE-2019-5765, đã được vá vào tháng 1, mặc dù hơi khó xác định nếu bạn đã nhận được bản vá.

Trên danh nghĩa, lỗ hổng bảo mật yêu cầu một số phần mềm độc hại khác được cài đặt để khai thác, mặc dù Công nghệ Tích cực chỉ ra rằng nó có thể được khai thác thông qua việc sử dụng Ứng dụng tức thì, một tính năng cho phép người dùng thử ứng dụng mà không cần cài đặt ứng dụng trước. Với Ứng dụng tức thì, một thiết bị hỗ trợ Android tải một tệp nhỏ, được thực thi như một ứng dụng gốc. Mặc dù Ứng dụng tức thì là tạm thời, nhưng chúng không được lưu trữ trên thiết bị sau khi sử dụng.

XEM: Bảo mật thiết bị di động: Hướng dẫn dành cho lãnh đạo doanh nghiệp (Tech Pro Research)

Cách mà WebView, được gọi khi các trang web được truy cập bên trong một ứng dụng khác được đóng gói trong Android đã thay đổi giữa các ứng dụng khác nhau phiên bản. Đối với người dùng Android 7.0 (Nougat) trở lên, WebView được đóng gói như một phần của Google Chrome. Đối với các phiên bản Android cũ hơn, WebView được phân phối thông qua Google Play Services. Lỗ hổng được giới thiệu trong Android 4.4 (KitKat), vào năm 2013.

Google Chrome và Android System Webview 72.0.3626.81 và cao hơn chứa một bản vá cho lỗ hổng. Thông thường, Android sẽ tự động cập nhật ứng dụng khi được kết nối với Wi-Fi và Dịch vụ Google Play sẽ tự động cập nhật mà không cần nhắc người dùng trước. Giả sử thiết bị chạy Android của bạn thường xuyên được kết nối với Internet, có khả năng bản cập nhật của bạn đã được cài đặt.

Đối với người dùng không có Dịch vụ Google Play, có thể tải xuống WebView theo cách thủ công từ APKMirror. WebView và Chrome là các triển khai của trình duyệt Chromium nguồn mở của Google, cũng hỗ trợ Trình duyệt Internet của Samsung và Trình duyệt Yandex.

Để biết thêm về bảo mật Android, hãy tìm hiểu về các ứng dụng Google Play Store lừa đảo hứa hẹn sẽ cập nhật điện thoại Android của bạn. Ngoài ra, hãy kiểm tra tương lai của Android với "Những gì mong đợi từ Android Q."

Cũng xem

 istock-1084744704.jpg "width =" 770 "/> </span><figcaption>
<p>
                                            Hình ảnh Getty / iStockphoto<br />
                                        </p>
</figcaption></figure>
</p></div>
</pre>
<div class=