نقص امنیتی مرورگر كروم بعد از ۳ سال رفع شد
به گزارش لیزر تگ گوگل بعد از سه سال از نخستین گزارش نقص امنیتی مرورگر كروم، با انتشار وصله امنیتی، این نقص را برطرف كرد.
به گزارش لیزر تگ به نقل از مركز ماهر، گوگل به تازگی یك نقص امنیتی در مرورگر «كروم» اندرویدی را وصله كرده است كه اطلاعات مربوط به مدل سخت افزاری گوشیهای هوشمند، نسخه سفت افزار و به صورت غیرمستقیم سطح وصله امنیتی دستگاه را افشا می سازد. این نقص نخستین بار سه سال پیش، در ماه می سال ۲۰۱۵ گزارش شده بود؛ اما تا سه سال نادیده گرفته شد. تا زمانی كه كاركنان Chrome متوجه شدند اطلاعاتی كه مرورگر كروم دستگاه های اندرویدی منتشر می سازد خطرناك می باشد. این نقص ابتدا توسط محققان امنیتی شركت امنیت سایبری Nightwatch كشف شد. آنها دریافتند كه رشته های User-Agent مرورگر كروم نسخه های اندرویدی دارای اطلاعات بیشتری نسبت به نسخه های دسكتاپی آن است. رشته های User-Agent مرورگر كروم اندرویدی علاوه بر جزئیات مرورگر كروم و اطلاعات مربوطه به نسخه سیستم عامل، دارای اطلاعات مربوط به نام دستگاه و شماره ساخت سفت افزار آن هم است. شماره ساخت سفت افزار نه تنها برای شناسایی دستگاه بلكه برای شناسایی سرویس گیرنده و كشور هم می تواند استفاده گردد. شماره ساخت به راحتی از وب سایت های سازنده و سرویس گیرنده تلفن همراه قابل دستیابی است. علاوه براین، با دانستن شماره ساخت، مهاجمان می توانند شماره دقیق سفت افزار را تعیین كنند و به صورت غیرمستقیم تعیین كنند دستگاه در حال اجرای چه سطحی از وصله امنیتی است و دستگاه، متأثر به چه صدمه پذیری هایی است. بنابراین چنین اطلاعات حساسی هیچگاه نباید در رشته User-Agent گنجانده شوند. مهندسان گوگل این نقص را با حذف شماره ساخت از رشته User-Agent مرورگر كروم اندرویدی برطرف ساختند و در اواسط ماه اكتبر سال ۲۰۱۸، با انتشار نسخه Chrome ۷۰، بی سروصدا به كاربران این مرورگر عرضه كردند. البته این رفع نقص هنوز كامل نیست. رشته های نام دستگاه هنوز وجود دارند. علاوه براین، هر دو رشته نام دستگاه و شماره ساخت هنوز در WebView و Custom Tabs وجود دارند. WebView و Custom Tabs اجزایی اندرویدی و نسخه های پایین تر موتور Chrome هستند كه برنامه های دیگر می توانند درون كد آنها تعبیه شوند، ازاین رو كاربران می توانند محتوای وب را با استفاده از یك مرورگر داخلی شبه كروم مشاهد كنند. Custom Tabs هم اكنون به ندرت استفاده می گردد اما WebView بسیار محبوب است. از آنجاییكه رفع نقص به مرورگر WebView اعمال نشده است، توسعه دهندگان برنامه كاربردی باید به صورت دستی پیكربندی User Agent را تغییر دهند یا كاربران از مرورگر دیگری استفاده كنند. جهت رفع موقت این نقص، كاربران می توانند از گزینه «Request Desktop Site» در تنظیمات مرورگر كروم اندرویدی هنگام مشاهده وب سایت ها در دستگاه تلفن همراهشان استفاده كنند. استفاده از این گزینه در مرورگر كروم اندرویدی، یك رشته User Agent شبیه لینوكس (Linux ) منتشر می سازد كه دارای نام دستگاه و شماره ساخت سفت افزار نیست. محققان امنیتی بر این باورند كه تمامی نسخه های قبلی مرورگر كروم تحت تأثیر این صدمه پذیری قرار گرفته اند و به تمامی كاربران سفارش می كنند مرورگر كروم خویش را به نسخه ۷۰ یا نسخه های بعدتر ارتقا دهند.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب