Хакер #305. Многошаговые SQL-инъекции
Специалист группы исследований безопасности мобильных приложений Positive Technologies Сергей Тошин обнаружил критическую уязвимость (CVE-2019-5765) в компоненте WebView. Проблема позволяла злоумышленнику получить доступ к конфиденциальным данным пользователей Android (включая токены и историю браузера) через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps). Разработчики Google исправили баг и сообщили, что свидетельств его эксплуатации обнаружено не было.
Проблема была обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4 (KitKat). Уязвимость угрожала не только пользователям Android старше версии 4.4 (включая актуальные 7.0, 8.0 и 9.0) и Google Chrome, но и пользователям мобильных браузеров на базе Chromium, таких как Samsung Internet, Яндекс.Браузер и так далее.
«Компонент WebView сегодня используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны, — объясняет Сергей Тошин. — Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные».
Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением.
«Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер [до версии Google Chrome 72, прим. ред.], — отмечает Сергей Тошин. — На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства».