原生 Android 瀏覽器被發現包含嚴重的隱私漏洞


美國科技媒體Ars Technica 報導,Android 開源項目AOSP 下的開源、基於Webkit 的原生瀏覽器內部包含嚴重的隱私漏洞。用戶瀏覽到包含有惡意代碼的網站時將被感染,然後在瀏覽其他網站的時候一段特殊的JavaScript 代碼將被注入到這些網站當中。之後,代碼即可讀取用戶在密碼框、其他信息框中輸入的信息,或者乾脆直接劫持用戶使用軟鍵盤輸入的一切內容。

一般來說瀏覽器使用一個名為Same Origin Policy(SOP)的機制來控制不同網站來源的不同內容,SOP 機制使用不同的HTTP 或HTTPS 協議、域名以及接口等作為評判不同的網站來源。而本文所提到的於今年9 月1 日發現的漏洞,可以使得惡意網站的製作者在網頁中加入特殊的JavaScript 代碼從而跳過SOP 機制的檢測,進而被無限制地通過用戶的Andr​​oid 原生瀏覽器「移植」到其他的網站中。

這個 Bug 是 AOSP 瀏覽器的專屬 bug。 Google 方面得知此消息之後對旗下的Andr​​oid 版本中包含的AOSP 瀏覽器進行了檢測,給出的反饋是Android 4.4 KitKat 以及更高的小版本下的AOSP 瀏覽器,以及Chrome、Chrome Beta Android 版本瀏覽器不包含這個bug。對於較早的Andr​​oid 版本,Google 已經給出了更新補丁

頭圖:Android Next


資料來源:TECH2IPO

如果喜歡我們的文章,請即分享到︰