Chrome曝出高危漏洞 可泄露上网记录

　　你的Chrome升级到的72版没?如果没有快点，因为安全公司揭露从Android 4.4版以来的Chrome就存在的漏洞，可能让骇客可窃取Android手机用户上网记录、登录信息等重要数据。

　　这项漏洞是由俄罗斯Positive Technologies研究员Sergey Toshin在今年1月发现并已通报Google的。Google已在1月释出修补该漏洞的Chrome 72.0.3626.81版，但当时Google只是轻描淡写为“浏览器中策略执行不足”。

　　这项编号为CVE-2019-5765的漏洞是位于Android 4.4版本以后的Chromium引擎中，后者是Android的WebView一项组件，允许网页在Android app内显示网页。所有使用Chromium为核心的移动版浏览器，包括Google Chrome、Samsung Internet Browser、Yandex Browser都会受到影响。

　　研究人员指出，项漏洞可经由Instant app引发安全风险。这类app让手机用户不必下载也能试用。用户点选浏览器链接后，智能手机就会下载一个小文件，然后像原生app般执行，它能访问手机硬件但不占用存储空间。当攻击者以instant app执行，就可在用户点选连接恶意app后拦截数据了。

　　该项漏洞可让骇客从程序内存中取得敏感信息，包括上网记录、app登录需要的验证权杖和标头，以及其他信息。由于大部分Android app都有WebView，也使这项漏洞变得非常危险，被Google列为高风险漏洞。

　　【从Android 7.0后，WebView已经由Google Chrome使用，因此只要更新浏览器即可修补漏洞。但早期版本的Android的WebView则必须经由Google Play安装。如果Android手机用户没有Google Play服务，则需要等手机厂商发布WebView更新才行了。】