Una vulnerabilità del browser Google dava accesso ai nostri dati personali

Una vulnerabilità del browser Google dava accesso ai nostri dati personali

Molti dati personali sarebbero andati in mani indesiderate se il bug non fosse stato corretto, fortunatamente non sembra che sia stato sfruttato. A Gennaio Google ha rilasciato gli aggiornamenti nelle patch per chiudere definitivamente questa falla.

di pubblicata il , alle 12:01 nel canale Telefonia
GoogleAndroidChrome
 

A Dicembre il ricercatore di Positive Technologies, Sergey Toshin, aveva scoperto una vulnerabilità molto pericolosa che riguardava il browser Chromium di Google, un motore sul quale gira anche il più conosciuto Google Chrome. Questa vulnerabilità, se sfruttata nel modo corretto, avrebbe dato in pasto agli hacker i nostri dati personali presenti sui nostri dispositivi.

Venuta a conoscenza del bug, Google ha prontamente risolto il problema tramite le patch di sicurezza camuffando la correzione come vulnerabilità ad alta gravità con "insufficiente applicazione delle policy". Soltanto dopo il report ufficiale di Positive Technologies è stato comunicato il vero problema: l'errore riguardava il componente WebView di Android, che è comunemente usato per visualizzare pagine all'interno di applicazioni sviluppate per il sistema con il robottino verde. La vulnerabilità esisteva all'interno del motore Chromium di Google ed era presente in tutte le versioni di Android che vanno dalla 4.4 fino alle successive.

Gli hacker avrebbero potuto sfruttare la vulnerabilità collegando gli utenti a un'applicazione istantanea dannosa che permetteva di eseguire un piccolo file, dando così accesso all'hardware dello smartphone. Una volta arrivati all'hardware sarebbe stato un gioco da ragazzi intercettare i dati che l'utente scambiava con le applicazioni presenti sul proprio telefono. Leigh-Anne Galloway, responsabile della resilienza alla sicurezza informatica presso Positive Technologies, si è espressa in merito: "Dopo un aggiornamento contenente un carico utile dannoso, tali applicazioni potevano leggere le informazioni da WebView. Ciò consente l'accesso alla cronologia del browser, token di autenticazione comunemente utilizzati per l'accesso in app mobili e altri dati importanti".

Le patch di sicurezza hanno risolto definitivamente il bug; gli utenti che utilizzano Android 7.0 o successivo devono aver aggiornato il proprio browser Google Chrome a gennaio; altrimenti, se la vostra versione di Android è precedente a Nougat, bisognerà aggiornare l'applicazione WebView tramite Google Play.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sterock7721 Marzo 2019, 13:25 #1
Chiedo a chi è esperto , tra non molto edge userà il motore di rendering di chrome, brave , opera ecc lo adottano già. Su iOS anche gli altri browser usano per regolamento il motore di Safari.
La domanda , in ambito sicurezza , permeabilità a problematiche tipo adware ecc il solo motore di rendering quanto gioca in questo senso ?
Ci sono altri componenti nel browser molto importanti tipo smartscreen od altro a tenere a bada la situazione o tutti quelli con l'ok stesso motore sono equiparabili ?
Ed in ambito prestazioni ?
Su iOS ho notato per esempio che pur avendo lo stesso motore Firefox consuma più batteria , prestazionalmente molto simili ma ff sui siti che usano disqus lo gestisce molto meglio di safari .
Attendo fiducioso .
Zenida22 Marzo 2019, 20:56 #2
WebView è Chromium senza funzionalità.

Ovvero un mini-browser incapace di memorizzare preferiti, di aprire schede, ecc. Sostanzialmente un browser ridotto all'osso, cioè il motore di rendering con poco altro attorno. Un Blink (ex WebKit) potenziato.

Con questo voglio dire, che se la falla ce l'ha WebView allora ce l'ha Chrome, ma se la falla ce l'ha WebView è improbabile che sia legata al motore di rendering Blink (altrimenti avrebbero citato quest'ultimo).

Quindi, chiunque si appoggi a Blink è probabilmente fuori pericolo.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^