Критичний недолік у браузері Chrome для Android нарешті полагодили. Про вразливість стало відомо більше трьох років тому, проте лише зараз компанія Google прибрала його, пише internet.ua з посиланням на TechRadar.
Уразливість виявили баг-хантери з Nightwatch Cybersecurity в травні 2015 року. Однак проблема залишалася невирішеною до моменту, поки фахівці Google не зрозуміли, що вона несе загрозу безпеці.
Як відомо, у процесі роботи усі браузери відправляють на веб-сервери різну інформацію, наприклад, щодо своєї роботи, про запущені процеси та операційну систему, і це вважається нормальним. Але через баг у мобільній версії Chrome відбувався витік даних про пристрій, у тому числі про його модель та прошивку. У десктопной версії такої проблеми немає.
Назви гаджетів, які надсилав Chrome для Android, були неповними (як от “C6606”), але за ними в готових базах можна було легко знайти точну модель, наприклад, Sony Xperia Z.
Як підкреслюють у Nightwatch Cybersecurity, більш небезпечним є розкриття подробиць про мікропрогамне забезпечення пристроїв. За ним часто можна визначитии постачальника та країну походження. На сайтах виробників і постачальників легко можна отримати номери збірки, а за ними – визначити рівень безпеки смартфонів та вразливість до окремих видів атак.
Часткове виправлення помилки вийшло разом з Chrome 70 в жовтні 2018 року, але браузер як і раніше надсилав інформацію про моделі пристроїв, а два компоненти Android, включно з вбудованим браузерои WebView, – номер білда прошивки.