Nul
Google har patchet en sikkerhedsfejl i Chrome til Android, der lækkede oplysninger om smartphones’ hardware model, firmware-version, og indirekte enhedens sikkerhed patch-niveau.
Hvad gjorde denne fejlrettelse skiller sig ud, var det faktum, at sikkerhed forskere først rapporteret problemet til Google ingeniører tilbage i Maj 2015, kun at blive ignoreret tre år, indtil Chrome personale realiseres ved sig, at de oplysninger, som Chrome til Android var at udsætte var, ja, farligt, som det kunne have været anvendt for at udnytte målrettet og bruger fingeraftryk.
2015 fejlrapport
Fejlen ved hånden, blev første gang beskrevet i en 2015 blog-indlæg af sikkerhedseksperter fra Nattevagten Cybersecurity. Dengang, Nattevagten forskere opdaget, at Chrome for Android-User-Agent strenge indeholdt en lille smule mere information end User-Agent strenge på desktop-versioner.
På toppen af Chrome-browseren detaljer og version af operativsystemet række oplysninger, Chrome til Android User-Agent strenge indeholdt også oplysninger om enhedens navn og sin firmware bygge.
Eksempel: “ST26i Bygge/LYZ28K”
At udsætte enheden navne som “ST26i” er farligt, da disse ikke blot nogle generiske udtryk. Enheden navne kan let oversættes til præcis smartphone-modeller, baseret på de allerede kendte offentlige lister som denne, for eksempel.
Men det største problem var inddragelsen af firmware build-nummer.
“For mange enheder, kan dette bruges til at identificere ikke kun enheden, men også transportøren, hvor det kører, og det er det land,” sagde Nattevagten forskere i en opdateret blog-indlæg i løbet af juleferien. “Bygge-numre, der er let kan indhentes fra producenten og telefon luftfartsselskab hjemmesider som denne.”
“Et eksempel kan være let ses af ovenstående, hvor bygge LYZ28K let kan identificeres som Nexus 6, der kører på T-Mobile, hvilket indebærer, at en amerikansk tilstedeværelse,” siger forskerne.
Udnytte målretning
Desuden at kende bygge nummer betyder, at angriberne kan også bestemme præcis firmware antal, og indirekte bestemme, hvilke security patch-niveau enheden er ved at løbe og sårbarheder, som enheden er sårbare over for.
Sådanne oplysninger er af afgørende betydning for cyber-kriminelle, der kører web-baseret exploit kits (EKs) eller til nation-state hackere at lokke high-value targets på weaponized hjemmesider.
Denne type af følsomme oplysninger, der aldrig skulle have været indeholdt i User-Agent-streng, i første omgang beregnet til grundlæggende fejlfinding og analytics formål.
En forandring i hjertet,
Mens det i begyndelsen, Google fortalte Nattevagten forskere, at Chrome til Android arbejdede som formål, virksomheden har ændret sin mening til sommer, når Google ingeniører, på deres egne, begyndte en proces til at fjerne mindst build-nummer fra Chrome til Android User-Agent-streng.
At rettelse blev tavst, der sendes ud til Chrome for Android-brugere med v70, udgivet i midten af oktober 2018.
Men rettelsen er ikke komplet. Enhed navn strenge er stadig opført. Dertil kommer, at begge enheden navn og build-nummeret er stadig inkluderet i WebView og Tilpassede Faner, to Android-komponenter, der er skåret ned versioner af Chrome motor, at andre apps kan integrere i deres kode, så brugere kan få vist web-indhold ved hjælp af en indbygget i Chrome som browser.
Mens Tilpassede Faner er sjældent brugt i dag, WebView er ekstremt populære, idet den indbyggede browser i populære apps såsom Facebook, Twitter, Flipboard, og andre.
Mens de fleste brugere, der ikke er direkte påvirket af dette problem, at brugere, der værdsætter deres privatliv bør være opmærksom på denne lækage og bruge en anden browser i stedet for Chrome eller WebView.
En midlertidig løsning ville være at konfigurere Chrome til Android til at bruge “Request Desktop Site” valgmulighed, når du ser hjemmesider på deres telefon. Dette er fordi Chrome til Android, når der er konfigureret til at bruge “Request Desktop Site” – udsendelser et generisk Linux User-Agent string, med ingen enhedens navn eller firmware bygge antal inkluderet i prisen.
Hertil kommer, at Nattevagten anbefaler også, at app-udviklere overskrive User-Agent strenge at bruge enten en brugerdefineret streng, eller en strimmel ud for enhedens navn og opbygge numre. Men de fleste app-udviklere har deres egne apps’ bugs til at beskæftige sig med, og de fleste udviklere vil ikke selv gider.
Mere browser dækning:
Firefox 64 udgivet med en Windows-ligesom task manager
Google arbejder på at blokere Tilbage-knappen kapring i ChromeMicrosoft bekræfter, at Chrome-udvidelser vil køre på ny Kant browserBrave browser flytter til Chrom, codebase, nu understøtter Chrome extensionsMalicious steder misbrug 11-årige Firefox fejl, at Mozilla har undladt at fixGoogle Chrome nye UI er grimme, og folk er meget angryBrave er standard browser på obskure HTC crypto-telefon CNETHow at bruge Opera er Flow til at synkronisere din desktop og mobile browsere, TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0