Google nihayet, Android için Chrome web tarayıcısında, kullanıcıların cihaz modelini ve ürün yazılımı sürümünü ortaya çıkaran ve sonunda uzaktaki saldırganların yamalanmamış cihazları tanımlamasını ve bilinen güvenlik açıklarından yararlanmasını sağlayan bir gizlilik güvenlik açığı ekledi.
Henüz bir CVE numarası vermemiş olan güvenlik açığı, Android için Google Chrome’un Android sürüm numarasını içeren ‘Kullanıcı Aracısı’ dizesini üretme biçiminde ve cihaz adını ve ürün bilgisini içeren etiket bilgilerini oluşturma biçiminde ortaya çıkan bir bilgi ifşa hatasıdır. inşa etmek.
Bu bilgiler ayrıca, üzerinde çalıştığı kullanıcıları ve parmak izi cihazlarını izlemek için kullanılabilecek WebView ve Chrome Sekmeleri API’lerini kullanan uygulamalara gönderilir.
Örneğin: Mozilla / 5.0 (Linux; Android 5.1.1; Nexus 6 Yapı / LYZ28K ) AppleWebKit / 537,36 (KHTML, Gecko benzeri) Krom / 46.0.2490.34 Mobil Safari / 537,36 Yakov Shafranovich, Gece Bekçileri cybersecurity firmasında katkıda bulunurken, başlangıçta bildirilen bu sorunu üç yıl önce Google’a verdi, ancak o zaman şirket, tarayıcı uygulamasının “amaçlandığı gibi çalıştığını” söyleyerek hata raporunu reddetti.
Shafranovich, “Android bunları geçersiz kılma yeteneği sunsa da (WebView’daki WebSettings.setUserAgent () aracılığıyla) çoğu uygulama, varsayılan başlığa dayanarak uyumluluk sağlamak için bunu yapmamayı tercih ediyor ” dedi.
“Birçok cihaz için bu, yalnızca cihazın kendisini değil, üzerinde çalıştığı ve ülkeden taşıyıcıyı tanımlamak için de kullanılabilir.”
Bu gizlilik sorunu, cihazdaki güvenlik düzeltme eki düzeyini ve cihazın savunmasız olduğu ve saldırganların hedeflenen şekilde yararlanabileceği güvenlik açıklarını belirlemek için de kullanılabilir.
Google, bu yılın başlarında Google’ın Chromium forumunda ayrı bir kullanıcı tarafından yeni bir hata raporu gönderildikten sonra Ekim 2018’de Chrome 70’in piyasaya sürülmesiyle ilgili sorunu kısmen ele almıştır .
Araştırmacıya göre, Chrome 70 güncellemesi yalnızca bellenim oluşturma bilgisini başlıktan çıkardı, ancak donanım modeli tanımlayıcısı Kullanıcı Aracısında hala mevcut. Ancak, güncelleme yalnızca WebView uygulaması için değil uygulamanın kendisi için geçerli olduğundan, uygulama geliştiricilerinin uygulamalarında Kullanıcı Aracısı yapılandırmasını el ile geçersiz kılmaları önerilir.
Shafranovich yeni bir yayında, “Ayrıca, Chrome’da olduğu gibi, Android’de, geçerli oturum için tarayıcının kendisinde bulunan” Masaüstü Sitesi İste “seçeneğinin dışındaki başlığı değiştirmek için herhangi bir uzantı veya geçersiz kılma mümkün değildir” dedi.
“Hem satıcı hem de MITRE, bu sorunu izlemek için CVE numarası vermeyi reddetti, çünkü güvenlikle ilgili olduğunu düşünmüyorlar” Shafranovich, sürüm 70’ten önceki tüm Chrome for Android sürümlerinin bu güvenlik açığından etkilendiğine inandığından, tüm kullanıcıların Chrome sürüm 70 veya üst sürümüne geçmelerini şiddetle tavsiye ediyor.