رفع یک نقص امنیتی سه ساله در گوگل کروم

به گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری؛ به نقل از سایت ZDNet، اخیرا توسعه‌دهندگان کروم متوجه شدند با اطلاعاتی که از مرورگر کروم اندروید در حال نشت است می‌توان از رخنه‌های امنیتی بهره‌برداری کرد.

این نقص امنیتی ابتدا توسط پژوهشگران امنیتی Nightwatch Cybersecurity در یک پست بلاگ در سال ۲۰۱۵ ثبت شد.

در آن زمان، پژوهشگران Nightwatch متوجه شدند که رشته‌های User-Agent کروم اندروید حاوی اطلاعات بیشتری از رشته‌های User-Agent نسخه‌های دسکتاپ است.

علاوه بر جزئیات مرورگر کروم و اطلاعات مربوط به نسخه سیستم‌عامل، رشته‌های User-Agent کروم اندروید حاوی اطلاعاتی درباره نام دستگاه و ساختار سیستم‌عامل آن بود که از طریق نام دستگاه، می‌توان شماره ساخت firmware و اپراتور گوشی را استخراج کرد.

علاوه بر این، دانستن شماره ساخت به این معنی است که مهاجمان می‌توانند شماره دقیق سیستم‌عامل را تعیین کرده و به طور غیرمستقیم سطح پچ امنیتی دستگاه و آسیب‌پذیری‌های آن را تخمین بزنند، این نوع اطلاعات حساس هرگز نباید در رشته User-Agent گنجانده شوند.

توسعه‌دهندگان گوگل، فرایندی برای حذف شماره ساخت از رشته‌های User-Agent کروم اندروید آغاز کردند.

این اصلاحیه در اواسط اکتبر سال ۲۰۱۸ به طور مخفیانه برای کاربران کروم اندروید با نسخه V۷۰ منتشر شد.

کارشناسان معاونت بررسی مرکز افتا، تنظیم کروم اندروید برای استفاده از گزینه درخواست سایت دسکتاپی (Request Desktop Site)) هنگام مشاهده وب‌سایت‌ها را در تلفن‌همراه، راه حلی موقت برای «جلوگیری از نشت اطلاعات از طریق کروم اندروید»، بیان می‌کنند.