В декабре прошлого года специалисты компании Positive Technologies обнаружили критическую уязвимость в браузере Chromium, которая позволяла получить доступ к личным данным пользователей, и сообщили об этом компании Google. Через несколько недель поисковый гигант исправил проблему, лишь вскользь упомянув о ней в своём блоге. Новый отчёт Positive Technologies раскрыл некоторые подробности об уязвимости.
Как оказалось, проблема была связана с компонентом Android WebView, который обычно используется для отображения веб-страниц в приложениях. В более широком смысле, уязвимость была в движке Chromium и затронула все версии мобильной системы, начиная от Android 4.4 и выше. Злоумышленники могли воспользоваться этим, чтобы осуществить атаку с помощью службы Instant Apps, установив на устройстве жертвы вредоносное приложение. Затем это приложение получало доступ к аппаратному обеспечению смартфона и перехватывало пользовательские данные.
Владельцы устройств, работающих под управлением Android 7.0 и выше, должны были получить обновление браузера Google Chrome с соответствующим исправлением ещё в январе, в то время как пользователям более ранних версий Android пришлось обновлять WebView через сервисы Google Play. Соответственно, тем, у кого нет Google Play, осталось лишь надеяться на производителей.
Ещё одна неприятная новость касается сервиса Google Photos. Недавно в нём была обнаружена ошибка, которая привела к тому, что некоторые пользователи стали видеть фотографии из чужих учётных записей. До сих пор неясно, что могло вызвать такой баг, но проявлялся он на операционной системе Android TV. Теперь исследователи компании Imperva нашли уязвимость в веб-версии Google Photos. Связана она с тем, что злоумышленник может провести атаку и отследить местоположение, время и дату на момент съёмки, а также имена пользователей, отмеченных на фотографиях, и другую информацию из учетных записей. Однако для этого придётся использовать фишинговую схему, чтобы заставить жертву открыть вредоносную ссылку при входе в Google Photos. На текущий момент эта уязвимость уже исправлена.