Эксперт Positive Technologies Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps).
Специалисты Google оценивают уровень опасности данной уязвимости (CVE-2019-5765) как высокий.
Компонент WebView сегодня используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны. Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные.
WebView — компонент платформы Android, который дает возможность отображать веб-страницы внутри Android-приложения. Проблема обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4. Уязвимость также угрожает пользователям мобильных браузеров на базе Chromium, таких как Google Chrome, Samsung Internet, «Яндекс.Браузер».
Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением.
Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер. На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства.
