Er zit een lek in Chromium tot en met versie 72, waarmee kwaadwillenden op Android-smartphones toegang kunnen krijgen tot bepaalde gegevens, zoals authenticatietokens. Het lek is te misbruiken via Instant Apps.
Behalve authenticatietokens gaf het lek ook toegang tot browsegeschiedenis, zegt beveiligingsbedrijf Positive Technologies tegen Venturebeat. Het bedrijf geeft geen stappenplan voor hoe kwaadwillenden het lek kunnen misbruiken, maar het lijkt erop dat ontwikkelaars een payload kunnen meesturen met een Instant App op Android, die gebruikers openen door op een link te klikken.
Google omschreef het lek in een changelog als 'onvoldoende handhaving van policy'. Het lek zit in Chromium, de engine voor WebView in Android. Vanaf Chromium versie 73 zit een fix erin. Updates voor Android-apparaten komen automatisch via de Play Store. Voor Android-toestellen zonder Google moet dat komen van de fabrikant of via sideloading. Het is onbekend of kwaadwillenden het lek hebben misbruikt.
Omdat het een lek is in Chromium, werden sommige andere browsers ook getroffen, zoals de browser van Yandex en de Samsung Internet-browser. De kwetsbaarheid staat bekend als CVE-2019-5765.