بر اساس گزارش ZDNet، گوگل یک بهروزرسانی برای اصلاح یک نقص امنیتی در گوگل کروم برای آندروید منتشر کرده است که به مدت سه سال کلا رها شده بود.
این نقص در سال ۲۰۱۵ توسط شکارچیان باگ(Bug Hunter) در Nightwatch Cybersecurity شناسایی شد، اما تا زمانی که تیم امنیت Google متوجه شد که اطلاعات کروم در معرض افشا بوده است، آنرا جدی تلقی نکرده بودند.
این گزارش بیان میکند که نقص امنیتی، انواع اطلاعات و جزییات مربوط به دستگاه را از مرورگرهای تلفن همراه شما نشت میداده است. این اطلاعات شامل User Agent String است که خود در برگیرنده جزئیات مرورگر کروم و اطلاعات شماره نسخه عامل میباشد. علاوه بر این User Agent String شامل اطلاعاتی در مورد نام دستگاه و Firmware Build است.
این نقص صرفا در گوگل کروم برای آندروید، و نه برای نسخه دسکتاپ Chrome یافت شد.
“Nightwatch Cybersecurity” در این رابطه گفته است:”این باگ میتواند برای بسیاری از دستگاهها، به منظور شناساییِ نه فقط دستگاه بلکه به عنوان یک حامل که افشا کننده در حال کار بودن دستگاه از یک کشور خاص است نیز ایفای نقش نماید. . Nightwatch Cybersecurity میافزاید “بواسطه این باگ، شماره Buildها به راحتی از طریق وبسایتهای سرویس گیرنده تلفن و سازنده قابل دسترسیست.”
شماره Build، همراه با سایر اطلاعات مربوط به دستگاه میتواند به مهاجمان اجازه دهد تا متوجه شوند کاربر چه Patch Levelای دارد. که این موضوع خود میتواند منجر به سو استفاده مهاجمان شود.
پچ گوگل کروم v70
گوگل در اواسط اکتبر سال ۲۰۱۸، اصلاحیهای برای کاربران Chrome اندروید با v70 انجام داد، اما مرورگر باز هم نام دستگاه و دو کامپوننت آندرویدی(WebView و Custom Tabs) را نشت(Leak) میداد.
یاکوف شفرانویچ(Yakov Shafranovich)، یکی از پژوهشگران Nightwatch، در یک پست وبلاگی از کاربران خواست تا ارتقاء را به نسخه ۷۰ یا بالاتر انجام دهند. وی همچنین گفت که توسعهدهندگان اپلیکیشن باید به صورت دستی User Agent Configuration را در برنامههای خود Override کنند.