Компания Positive Technologies сообщает об обнаружении весьма опасной уязвимости в актуальных версиях мобильной операционной системы Android.
Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps).
Проблема затрагивает платформы Android 7.0, 8.0, 9.0 и более ранние редакции операционной системы. Злоумышленники теоретически могут похитить важную информацию со смартфона. Это могут быть, к примеру, сессии мессенджеров, банковских приложений и пр.
WebView — компонент платформы Android, который даёт возможность отображать веб-страницы внутри Android-приложения.
«Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки и другие данные», — отмечают специалисты Positive Technologies.
Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер. Важно отметить, что атакам подвержены смартфоны, планшеты и другие Android-устройства.
