reklama

Google „opravil“ chybu v Chromu pro Android tři roky po nahlášení

Google „opravil“ chybu v Chromu pro Android tři roky po nahlášení
2019-01-10T06:44:15+02:00
• 10. 1. 2019
1

Nikdy bychom neměli podceňovat zabezpečení svých zařízení a zejména pak uživatelských účtů. Samotné přihlášení si můžeme vylepšit pomocí dvoufázového ověření, pakliže to služba podporuje. U zařízení jsem závislí na výrobcích, kteří by měli vydávat pravidelně aktualizace, minimálně bezpečnostní. Bohužel se tak neděje a dokonce se přišlo i na podvádění. Ačkoliv se může zdát, že nižší úroveň bezpečnostní aktualizace nemusí napáchat velké škody, tak ve spojení s jinou chybou nějaké aplikace se může jednat o vážný problém. Právě Chrome pro Android nabízel zadní vrátka pro útočníky, kteří mohli lépe cílit své útoky.

Bezpečnostní aktualizace – jen 3 výrobci nabízí nadstandardní služby

Tři roky známá chyba konečně opravena

Webové prohlížeče posílají na webové stránky některé informace, aby server mohl poskytnou například správnou verzi aplikace, případně aby upravil chování pro plynulejší chod. Mezi takovými informacemi je například verze operačního systému, verze prohlížeče atd. Bohužel Chrome pro Android vyzradil webovým stránkám i kódové označení/název smartphonu a také verzi firmwaru.

Díky kódovému označení (případně názvu) se dá velmi přesně zjistit, o jaký mobilní telefon se jedná. Zde by nebyl až tak velký problém, ale právě u druhé informace se nabízelo vážné riziko. Právě z verze firmwaru by se dalo zjistit, jakou bezpečnostní záplatu má dané zařízení. Pakliže by útočník objevil, že chybí konkrétní oprava, mohl by lépe zacílit svůj útok. To značně zjednodušuje napadení zařízení. Navíc také jde zjistit v některých případech, u jakého mobilního operátora je dané zařízení, případně v jaké zemi.

Chrome poskytoval tyto informace: Mozilla/5.0 (Linux; Android 5.1.1; Nexus 6 Build/LYZ28K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.34 Mobile Safari/537.36

Ve své podstatě Chrome pro Android mohl navést útočníka, na jakou zranitelnost by mohl cílit. Samotný problém byl nahlášen již v roce 2015 společností Nightwatch Cybersecurity, ale až po třech letech si vývojáři v Googlu uvědomili, že se jedná o vážné bezpečnostní riziko. Částečná oprava je k dispozici již Chromu 70, jenž byl vydaný v říjnu 2018. Bohužel dvě komponenty v Androidu ještě nemají samotnou opravu. Jedna z nich je WebView, která se používá v aplikacích třetích stran pro zobrazování webového obsahu.

Google naštěstí má možnost aktualizovat komponentu WebView, takže i zde se dočkáme opravy. Možná se zdá, že tato zranitelnost nebyla využita, ale opak je pravdou. Minimálně některé nebezpečné weboví stránky mohly zobrazit varování s přímým označením názvu vašeho smartphonu. Viz ukázky níže.

chybu v Chromu

Pakliže používáte Chrome i na běžném počítači, tak se nemusíte obávat, jelikož problém se týkal jen mobilní verze pro Android.

Zdroj: techradar.com

reklama
reklama

Přemysl Vaculík

Androiďák, šéfredaktor, tvůrce @dotekomanie a +dotekomanie.cz. Také milovník adrenalinových sportů, na které nemá čas.

Komentáře

Ján Valkovič

10. 1. 2019, 8:54
Android aplikace

Z UA bola vyhodená len verzia OS, model ostal. Ale vyzerá to tak, že chcú riešiť aj to
https://bugs.chromium.org/p/chromium/issues/detail?id=494452#c15

Dotekománie.cz

Přidat komentář

Pro komentování se musíte přihlásit

Tmavý režim