Chrome: hiba vagy nem hiba?

A napokban derült ki, hogy a Chrome böngésző Android kompatibilis kiadásának egyik biztonsági hibáját három éven keresztül javította a Google.
 

A webböngészők biztonsága épp olyan fontos a mobil eszközök esetében, mint az asztali és a hordozható számítógépeken. A mobilos böngészők is rendszeresen frissülnek, aminek során gyakorta biztonsági résektől is megválnak. A hibajavítások az esetek többségében viszonylag gyorsan meg szoktak születni, de azért itt is vannak kivételek. Főleg akkor, ha azon megy a vita, hogy egy biztonsági hiba valóban sebezhetőségnek tekintendő-e.
 
A Chrome for Android tavaly egyebek mellett októberben is kapott egy fontos frissítést, a 70-es verziójú kiadás formájában. Azonban arra csak a napokban derült fény, hogy ez a verzió egy olyan sérülékenység kockázatát csökkenti, amelyről még 2015-ben szerzett tudomást a vállalat. A biztonság rendellenesség kihasználásával elsősorban adatszivárogtatásra nyílhat lehetőség. Többek között a mobil eszköz típusához, a firmware verziójához és a biztonsági frissítések szintjéhez (patch level) ad hozzáférést. A hiba minden olyan webes alkalmazást érint, amely a Chrome adta lehetőségeket használja a webes tartalmak megjelenítéséhez.
 
Mi okozta a dilemmát?
 
Leginkább az, hogy a Google a hiba felfedezését követően arra a megállapításra jutott, hogy az nem biztonsági sérülékenység, igazából nem is hiba. Noha a Chrome dokumentációjában szerepelt, hogy a böngésző a "User Agent" értékben az Android verziószámát (és néhány build információt) megjelenít, a fenti extra paraméterek, adatok elérhetővé tételéről már nem emlékezett meg. Egyes biztonsági szakemberek szerint a kialakult helyzet leginkább azért problémás, mert meglátásuk szerint bizonyos körülmények között nyomon követhetővé teheti a felhasználókat, és digitális ujjlenyomatok képezhetők a felhasználó tudta, illetve belelegyezése nélkül, legyen szó akár HTTP, akár HTTPS alapú adatkommunikációról.
 
Érdekesség, hogy a Google még most sem igazán tekinti kiemelt problémának a szóban forgó rendellenességet, hiszen mostanra az is kiderült, hogy a Chrome for Android 70-es kiadása is csak részben orvosolta azt. Egészen pontosan a "közzétett adatokból" csak a firmware verziót távolították el a fejlesztők, egyelőre minden más maradt.
Vélemények
 
  1. 3

    A CoreFTP FTP és SFTP Server egy közepes veszélyességű sebezhetőséget tartalmaz.

  2. 3

    A Drupal fejlesztői egy biztonsági hibajavítást adtak ki.

  3. 1

    A Fakeslic trójai a felhasználók megtévesztésével próbál felkerülni a kiszemelt számítógépekre.

 
Partnerhírek
​Kiberbűnözés a dark weben

A kiberbűnözés 3 billió (milliószor millió) dolláros kiadást jelentett világszerte 2015-ben, és az előrejelzések szerint ez az összeg 2021-re 6 billióra emelkedik.

​Több millió autó(s) lehet veszélyben az okos riasztók miatt

Több millió autóba szerelték be olyan, mobiltelefonnal irányítható riasztókat, amelyek komoly biztonsági hibáik miatt nemhogy megvédik, de sokkal sérülékenyebbé teszik az autókat és az autósokat is.

hirdetés
Közösség
1