Пользователи гаджетов на Android могли подвергаться атакам злоумышленников несколько лет

На днях стало известно, что пользователи гаджетов на ОС Android на протяжении нескольких лет рисковали своими личными данными. Речь идет об ошибке в коде браузерного движка Chromium, которую удалось исправить только в начале 2019 года.

Проблема была обнаружена Сергеем Тошиным, сотрудником компании Positive Technologies. Он дал подробные комментарии только в марте, после того, как недоработка была исправлена производителем и протестирована.

Chromium – это движок, лежащий в основе работы браузера Chrome, обеспечивающий предпросмотр страниц различных сторонних приложений через Web View. Начиная с 2015 года, рабочая версия позволяла злоумышленникам получать личную информацию от пользователей – историю посещений, рабочие сессии банковских приложений и мессенджеров.

Компонента Web View используется при открытии файлов самых разных приложений, и, как правило, пользователи доверяют ей гораздо больше, нежели самим браузерам. В связи с этим мошенники могли без проблем подменивать ссылки в самом приложении, отправляя пользователя на сторонние подменные сайты и используя личные данные в корыстных целях.

Обнаруженная угроза касается гаджетов, работающих на Android c версией, старше, чем 6.0.1. Для предотвращения уязвимости браузера пользователям таких устройств необходимо установить Android System WebView с Play Market вручную. Более новое программное обеспечение автоматически устранило ошибку при январском обновлении.

На данный момент не сообщается о том, использовался ли обнаруженный пробел в корыстных целях злоумышленников, и как производитель отреагировал на публичное обнародование информации сотрудником Positive Technologies.