谷歌浏览器漏洞本可以让黑客窃取个人数据

研究人员发现了谷歌Chromium浏览器中的一个关键漏洞，可用于窃取个人数据。Positive Technologies研究员谢尔盖·托申去年12月发现了这个漏洞并于1月份向谷歌披露了这个漏洞，几周后该漏洞修补了漏洞。没有迹象表明它被积极利用，但考虑到漏洞的广泛影响，很难确定。

这个漏洞在1月份的谷歌补丁说明中被简要披露，仅被描述为一个高度严重的漏洞，“策略执行不充分。”在Positive Technologies的一份新报告之后，我们现在知道该漏洞影响了Android的WebView组件，这是常用的在Android应用中显示页面。更广泛地说，该漏洞存在于谷歌的Chromium引擎中，它存在于Android 4.4及更高版本的所有版本中。

“恶意有效载荷”

黑客可能通过将用户链接到恶意即时应用程序来利用此漏洞，该应用程序将运行可访问手机硬件的小文件。从那里，攻击者可以拦截用户数据。“在包含恶意负载的更新之后，此类应用程序可以从WebView读取信息。这使得能够访问浏览器历史记录，通常用于在移动应用程序中登录的身份验证令牌以及其他重要数据，“Positive Technologies的网络安全弹性负责人Leigh-Anne Galloway说。

任何运行Android 7.0及更高版本的用户都应该在1月份更新他们的Google Chrome浏览器，而运行早期版本的Android的用户必须通过Google Play更新WebView。没有Google Play的Android用户必须等待设备制造商的更新。