Google修复了Android版Chrome浏览器中的漏洞

Google悄悄地修复了Android的Chrome浏览器中的一个安全漏洞，该漏洞最初是在三年前报告的。

据ZDNet报道，该漏洞是2015年5月在Nightwatch Cyber​​security的漏洞发现者中发现的，但是直到Google的安全人员意识到这实际上是一个威胁之后，该漏洞才得以解决。

该缺陷意味着移动浏览器会泄漏有关其所运行设备的信息，包括硬件型号和固件版本以及安全补丁程序级别。Chrome for Desktop不会遇到相同的问题。

太多信息

浏览器会将各种信息发送到Web服务器，作为其正常操作的一部分，包括浏览器本身，当前正在运行的其他应用程序和操作系统的详细信息。不幸的是，Android版Chrome也发送了设备名称(例如C6606)和固件版本。

设备名称可能看起来是随机的，但它与特定的设备型号相关，并且可以在随时可用的列表中轻松在线找到。例如，设备名称C6606将为Sony XperiaZ。

这本身就是安全问题，但是随之而来的泄漏的固件详细信息是最大的问题。

Nightwatch Cyber​​security表示：“对于许多设备，它不仅可以用于识别设备，还可以识别在其上运行的运营商以及来自该国的运营商。” “可以从制造商和电话运营商的网站(例如该网站)轻松获得内部编号。”

内部版本号还可以告诉攻击者设备的安全补丁程序级别，从而使他们知道攻击者可能容易受到哪些攻击。

谷歌于2018年10月发布了Chrome 70的部分修复程序，但浏览器仍发布设备名称，并且两个Android组件(包括WebView，这是Facebook之类的应用所使用的内置浏览器)仍然泄漏了固件内部版本号。