Uma falha de segurança no Chrome existente desde a versão Android 4.4 permitia a hackers invadir e roubar informações confidenciais dos usuários de dispositivos que rodavam o sistema operacional mobile do Google. A vulnerabilidade foi descoberta em dezembro do ano passado pelo pesquisador da Positive Technologies, Sergey Toshin. A empresa pesquisa e desenvolve medidas de cibersegurança.
O bug foi detectado no componente WebView fornecido pelo Chromium. A ferramenta permite abrir páginas da web dentro de aplicativos para Android. Usuários de navegadores móveis com suporte no Chromium além do Google Chrome, como o Samsung Internet Browser e o Yandex Browser, também podem ter sido afetados. A falha foi corrigida no Chrome 72, mas o bug foi eliminado desde atualizações do Android 7.0. Já os usuários que executam versões anteriores do sistema operacional precisam atualizar o WebView no Google Play.
Com a falha de segurança, um invasor podia usar aplicativos instantâneos – que permitem testes em um app sem precisar instalá-lo primeiro – para acessar as informações pessoais de usuários de aparelhos Android. Em um ataque realizado por meio desses apps, os dados poderiam ser liberados quando as pessoas clicassem em um link malicioso que rodaria um pequeno arquivo de acesso ao hardware do celular. Isso permitia a leitura de informações pelo WebView, o que inclui, por exemplo, histórico do navegador e tokens de autenticação comumente usados para login de acesso a aplicativos bancários.
Toshin divulgou o bug ao Google em janeiro, que anunciou ter corrigido o problema algumas semanas depois. A empresa divulgou a falha brevemente em uma nota oficial no mesmo mês e a descreveu como uma vulnerabilidade de alta gravidade.
O Google e o pesquisador não relataram sinais que comprovem a exploração da falha por hackers. Porém, considerando o amplo alcance da vulnerabilidade, há chances de que invasores a tenham utilizado.
Fonte: The Verge.