Nello scorso mese di dicembre il ricercatore di sicurezza Sergey Toshin, di Positive Technology, ha scoperto una vulnerabilità critica nel browser Chromium di Google, segnalandolo alla compagnia californiana nel mese di gennaio.
La patch è stata prontamente rilasciata entro la fine del mese e, dopo che nelle patch di gennaio era stato indicato un problema legato a un livello insufficiente di sicurezza, Positive Technology ha pubblicato un report nel quale fornisce maggiori dettagli in merito.
La vulnerabilità affliggeva, fin dai tempi di Android 4.4 KitKat, il componente WebView utilizzato normalmente per mostrare contenuti web all’interno delle app Android. Un eventuale malintenzionato avrebbe potuto creare un link verso una instant app malevola, in grado di accedere a numerose informazioni relative all’utente, tra cui la cronologia, i token di autenticazione utilizzati per accedere alle app mobili e numerosi altri dati.
Gli utenti che utilizzano dispositivi Android nelle versioni 7.0 e successive hanno risolto il problema con l’aggiornamento di Google Chrome ricevuto a gennaio, per le versioni precedenti è invece necessario scaricare un aggiornamento di WebView dal Play Store.
Secondo Google non ci sono evidenze che la vulnerabilità sia mai stata utilizzata, ma dato il vasto uso che viene fatto del componente incriminato è difficile avere certezze. Per chi utilizza uno smartphone privo di Play Store è necessario attendere una patch, che dovrà essere sviluppata direttamente dal produttore.