Si chiama WebView il componente Android che consente di visualizzare pagine Web all’interno delle App installate nel sistema operativo di Google e, secondo quanto scoperto recentemente da alcuni ricercatori, nel motore Chromium, che alimenta WebView su versioni Android 4.4 e successive, sarebbe presente una vulnerabilità grave che consentirebbe ad eventuali hacker di rubare, senza troppa fatica, i dati personali degli utenti.

Bug rilevato e corretto

Il ricercatore di Positive Technologies, Sergey Toshin, ha scoperto una vulnerabilità critica in Chromium lo scorso dicembre e lo ha fatto presente a Google gennaio. La gravità della vulnerabilità (CVE-2019-5765) è stata classificata da Big G come Alta, l’azienda ha quindi provveduto a correggere il bug qualche settimana dopo, con una patch. Per ora non sembra che tale vulnerabilità abbia generato vittime, anche se in merito non si hanno dati certi.

La patch diffusa da Google a gennaio serviva dunque a questo, anche se nella descrizione dell’update si faceva riferimento solo ad una vulnerabilità ad alta gravità con “insufficiente applicazione delle policy”. Ora però, grazie ad un nuovo report di Positive Technologies, viene diffusa la notizia che l’errore riguardava il componente WebView di Android, che è comunemente usato per visualizzare pagine all’interno di App Android. In pratica la vulnerabilità andava ad impattare su tutti i browser mobili basati su Chromium, tra cui Google Chrome, Samsung Internet Browser e Yandex Browser.

Il bug lasciava aperte le porte alla possibilità che gli hacker collegassero gli utenti a un’app istantanea dannosa che avrebbe dato loro accesso all’hardware del telefono, andando così ad intercettare molti dati sensibili dell’utente. Facendo girare un update malevolo gli hacker avrebbero potuto leggere tutte le informazioni presenti in WebView, dalla cronologia del browser, ai token di autenticazione (quindi nomi utente e password utilizzati per accedere ad App e a siti, anche bancari) e altri dati importanti, come quelli relativi alle carte utilizzare per fare acquisti su internet.

Come proteggersi

Per proteggersi è quindi importate aggiornare il software del telefono. Tuttavia, poiché in Android 7.0, WebView è stato implementato tramite Google Chrome, gli utenti che utilizzano questa versione e le successive dell’OS di Big G dovrebbero aver ricevuto l’aggiornamento del proprio browser Google Chrome mobile a gennaio e questo aggiornamento sarebbe sufficiente a correggere il bug. Gli utenti che invece utilizzano versioni precedenti di Android devono aggiornare WebView tramite Google Play. Gli utenti che non dispongono di Google Play Services sui loro smartphone devono invece attendere un aggiornamento di WebView da parte del produttore del dispositivo.

Fonte: Ptsecurity