Zero
Google ha patchato una falla di sicurezza in Chrome per Android che informazioni trapelate su smartphone hardware, modello, versione firmware, e, indirettamente, il dispositivo di protezione livello di patch.
Ciò che ha reso questo bugfix stand out è stato il fatto che i ricercatori di sicurezza in primo luogo segnalato il problema ai tecnici di Google nel Maggio 2015, solo per essere ignorata tre anni, fino al Cromo personale, realizzata da sé che le informazioni che il browser Chrome per Android è stato esporre, infatti, era pericoloso, in quanto potrebbe essere stato utilizzato per sfruttare il targeting e l’utente impronte digitali.
Il 2015 bug report
Il bug a portata di mano è stato documentato per la prima volta in un 2015 post del blog con i ricercatori di sicurezza di “ronda di notte” di sicurezza informatica. Allora, la “ronda di notte” i ricercatori hanno scoperto che Chrome per Android User-Agent stringhe contenute un po ‘ più di informazioni di Utente-Agente di stringhe su versioni desktop.
Sulla parte superiore del browser Chrome dettagli e la versione del sistema operativo informazioni di numero di Chrome per Android User-Agent stringhe contenute anche informazioni circa il nome del dispositivo e il suo firmware costruire.
Esempio: “ST26i Costruire/LYZ28K”
Esporre nomi come “ST26i” è pericoloso, in quanto non si tratta solo di alcuni termini generici. I nomi del dispositivo può essere facilmente tradotto in esatta modelli di smartphone basati sul già noto da elenchi pubblici, come questo, per esempio.
Ma il problema più grande è stata l’introduzione del firmware numero di build.
“Per molti dispositivi, questo può essere utilizzato per identificare non solo il dispositivo, ma anche il vettore su cui è in esecuzione e che il paese”, ha detto “ronda di notte” ricercatori in un blog aggiornato il post sulle vacanze di Natale. “I numeri di Build sono facilmente reperibili dal costruttore e gestore telefonico siti web come questo.”
“Un esempio può essere facilmente visto da sopra, dove costruire LYZ28K può essere facilmente identificato come Nexus 6 in esecuzione su T-Mobile, il che implica una presenza negli stati UNITI,” i ricercatori hanno detto.
Sfruttare il targeting
Inoltre, sapendo che il numero di build significa che gli hacker possono anche determinare l’esatto numero di firmware, e, indirettamente, di determinare quale livello di patch di protezione il dispositivo è in esecuzione e le vulnerabilità che il dispositivo è vulnerabile.
Tali informazioni sono cruciali per i cyber-criminali esecuzione di web-based kit di exploit (EKs) o di stato-nazione hacker che esca obiettivi di alto valore su un’arma siti web.
Questo tipo di informazioni sensibili, dovrebbero non sono mai stati inclusi nella stringa User-Agent, inizialmente progettato per il debug di base e scopi di analisi.
Un cambiamento di cuore
Mentre inizialmente, Google ha detto “ronda di notte” di ricercatori che Chrome per Android è stato di lavoro, come previsto, la società ha cambiato la sua mente quest’estate, quando i tecnici di Google, in proprio, ha avviato un processo di rimuovere almeno il numero di build da Chrome per Android stringa User-Agent.
Che la correzione è stata in silenzio spediti a Chrome per Android, con la v70, rilasciato a metà ottobre 2018.
Tuttavia, la correzione non è completa. Il nome del dispositivo stringhe sono ancora elencati. Inoltre, sia il nome del dispositivo e il numero di build sono ancora inclusi nella WebView e Schede Personalizzate, due Android componenti che sono snellita versioni di Chrome motore che altre applicazioni possono incorporare all’interno del loro codice in modo che gli utenti possono visualizzare i contenuti web utilizzando un built-in di Chrome come browser.
Mentre le Schede Personalizzate è raramente usato oggi, WebView è estremamente popolare, essendo il browser integrato di applicazioni popolari come Facebook, Twitter, Flipboard, e altri.
Mentre la maggior parte degli utenti non sono direttamente interessate da questo problema, gli utenti che il valore della loro privacy devono essere consapevoli di questo problema e utilizzare un altro browser invece di Chrome o WebView.
Una soluzione temporanea potrebbe essere configurare Chrome per Android per utilizzare il “richiedi Sito Desktop” opzione durante la visualizzazione di siti web sul loro telefono cellulare. Questo perché Chrome per Android quando è configurato per l’uso “richiedi Sito Desktop” trasmette un generic Linux-come stringa Agente Utente, senza il nome del dispositivo o il firmware numero di build incluso.
Inoltre, la “ronda di notte” raccomanda, inoltre, che gli sviluppatori di app sovrascrivere stringhe Agente Utente per utilizzare una stringa personalizzata, o togliere il nome del dispositivo e numeri di build. Tuttavia, la maggior parte dei sviluppatori di app hanno le loro proprie applicazioni’ bug da risolvere, e la maggior parte devs non sarà nemmeno la briga.
Più browser copertura:
Firefox a 64 rilasciato con Windows come il task manager
Google lavora sul blocco pulsante Indietro dirottamento in ChromeMicrosoft conferma che le estensioni di Chrome verrà eseguito sul nuovo Bordo browserBrave browser si sposta in Cromo codebase, ora supporta Chrome extensionsMalicious siti abuso 11-anno-vecchio bug di Firefox di Mozilla non è riuscito a fixGoogle Chrome nuova interfaccia utente è brutto, e le persone sono molto angryBrave è il browser predefinito sul oscuro HTC crypto-telefono CNETHow ad Opera del Flusso di sincronizzazione del desktop e del browser mobile di TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0