Fejl i Google Chrome på Android blev først patchet tre år efter første advarsel

Illustration: Google Chrome
Sikkerhedsfejl i browseren Google Chrome lækkede oplysninger om Android-telefoners hardware og firmware - og sladrede indirekte om telefonens patch-niveau i forhold til sikkerhedsrettelser.

I maj 2015 underrettede en række sikkerhedseksperter Google om en alvorlig sikkerhedsfejl i browseren Google Chrome til Android-telefoner, men Google gjorde ikke noget ved det. Det skriver ZDNet.

Først tre år senere, da Google selv opdagede fejlen, blev dele af den lukket ned med Chrome-opdatering 70 i oktober. Sikkerhedsfejlen var ellers så alvorlig, at den kunne have været brugt til at fingerprinte telefonens bruger og målrette exploits mod vedkommende.

Det skyldtes, at user-agent string i Chrome til Android indeholdt mere information, end den normalt gør i desktop-versioner. Browserens user-agent string indeholdt således oplysninger som device-navn og firmwarens build-nummer. Disse oplysninger kan bruges til at identificere telefonmodellen, teleselskab og indirekte landet og telefonens patch-niveau, hvilket kan bruges af hackere.

Med Chrome-opdateringen i oktober fjernede Google build-nummeret fra informationen i telefonernes user-agent string, men det er stadig muligt at se device-navnet, som altså kan afsløre, hvilken smartphone-model der bruges.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Leif Neland

Det betyder vel blot at skurkene prøver alle hacks til den modeltype og ikke kun de specifikke for det pågældende patchniveau.

Det er godt at det ikke er med PC'er som med mobiler, at man skal vente på en speciel leverandørtilrettet Windows for at få de seneste rettelser med.

Log ind eller Opret konto for at kommentere