Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek in Chromium gaf via WebView op Android toegang tot privégegevens

Er zit een lek in Chromium tot en met versie 72, waarmee kwaadwillenden op Android-smartphones toegang kunnen krijgen tot bepaalde gegevens, zoals authenticatietokens. Het lek is te misbruiken via Instant Apps.

Behalve authenticatietokens gaf het lek ook toegang tot browsegeschiedenis, zegt beveiligingsbedrijf Positive Technologies tegen Venturebeat. Het bedrijf geeft geen stappenplan voor hoe kwaadwillenden het lek kunnen misbruiken, maar het lijkt erop dat ontwikkelaars een payload kunnen meesturen met een Instant App op Android, die gebruikers openen door op een link te klikken.

Google omschreef het lek in een changelog als 'onvoldoende handhaving van policy'. Het lek zit in Chromium, de engine voor WebView in Android. Vanaf Chromium versie 73 zit een fix erin. Updates voor Android-apparaten komen automatisch via de Play Store. Voor Android-toestellen zonder Google moet dat komen van de fabrikant of via sideloading. Het is onbekend of kwaadwillenden het lek hebben misbruikt.

Omdat het een lek is in Chromium, werden sommige andere browsers ook getroffen, zoals de browser van Yandex en de Samsung Internet-browser. De kwetsbaarheid staat bekend als CVE-2019-5765.

Door Arnoud Wokke

Redacteur mobile

20-03-2019 • 19:14

36 Linkedin Google+

Reacties (36)

Wijzig sortering
Kijk even in de developer instellingen welke viewer je gebruikt, als je Google Chrome op een recente versie van Android hebt staan kun je die als Webview engine gebruiken en kan je dus wel om dit lek heen. Maar dit staat niet bij elke rom standaard aan.
dit is dus een van de redenen dat ik firefox op android gebruik. geen webview.
Dit is niet direct Chrome.. maar webview wat gebruikt wordt door apps
ik zeg ook niet dat het over chrome gaat. ik weet donders goed wat webview is. firefox gebruikt hun eigen concurent van webview genaamd geckoview.
Je kunt FireFox Focus voor Android zo instellen dat die de webview doet.
WebView kun je niet verwijderen en wordt *altijd* gebruikt voor Instant Apps.

De app Chrome heeft hier *niets* mee te maken.
dat zeg ik ook nergens. firefox gebruikt geen webview om webpagina's weer te geven maar hun eigen alternatief op webview genaamd geckoview, precies om deze reden dus.
Tja dat is natuurlijk echt een aanpak van niks, met die logica zijn we beter af als neanderthalers zonder techniek, want dan kan er niks mis zijn.
Nou, Klakkie. Doe maar een voorstel: hoe gaat de politiek voorkomen dat er bugs in software komen? Terug naar 1 release per jaar? Jammer van al die andere security fouten die constant opduiken en alle innovatie. Alle code 10 keer peer reviewen, testen, alfa testen, beta testen en certificeringsprogramma's doorlopen? Ik hoop dat je wat geld in je portemonnee hebt zitten want goedkoop gaat het niet worden.

Als je het niet snapt, maak dan geen statements.
Je kan simpelweg niet alles testen. Undefined behavior is precies dat: undefined behavior.
Je kan simpelweg niet alles testen. Undefined behavior is precies dat: undefined behavior.
Je komt een heel eind met https://github.com/Netflix/chaosmonkey
Chaos monkey test geen random app states, die test random shutdowns... Dat is leuk om stabiele always-on services te testen, maar heeft met client software totaal niets te maken...
In robots naar Mars laadt je geen random software die potentieel gevaarlijk kan zijn.
De software in die robots is door één team gemaakt en die draait nooit software van derden.

Maar ook daar zitten bugs in:
https://www.space.com/419...over-computer-glitch.html

Of tijdens het landen, OEPS, Inches ipv centimeters...
https://www.cnn.com/TECH/space/9909/30/mars.metric.02/

Bugs happen, je KAN niet alles testen.

[Reactie gewijzigd door OverSoft op 21 maart 2019 08:45]

Ze maken wel vliegtuigen waar absoluut geen probleem in zit, maar je moet wel even deze update installeren...
Geen bugs in vliegtuigen ?
Onder welke steen heb jij gezeten joh ?
De software van vliegtuigen bevatten ook bugs, net zoals elke andere software, maar de software van vliegtuigen worden ook veelvuldig getest en gedebugged.

https://www.theguardian.c...are-bug-fatal-plane-crash

Blijf maar lekker onder die steen.
Sarcasme gemist? Dat ik die update noemde moest toch een hint zijn...
Genoeg open functies bij talloze bedrijven, dus ik zou zeggen, niet op internet klagen maar lekker doen. Heeft iedereen veel meer aan ook.

Uiteindelijk komt het neer op menselijk gedrag. Als bedrijven niet iedere maand een nieuwe versie uitbrengen zien mensen het als verouderd en gaan ze over naar iets anders (en nee, tweakers is hiervan geen goed voorbeeld, die zijn op technisch vlak toch net even anders qua eisen). Dus het is een simpele bedrijfsbeslissing, iets minder controle maar meer geld.
En waarom mensen nog veel vaker zeggen 'spotiy heeft dit wel, waarom xxx niet?' 'Chrome heeft dittes en dattes en Firefox niet!'.
Om bij te blijven moet je blijven ontwikkelen en als je niet bij blijft maak je geen winst. Als je alles 10x gaat testen dan ga je achter lopen en poef daar gaan je investeerders en je centen.
Leuk dat je je idealen hier neer zet maar het is totaal niet realistisch.
Je HOEFT het niet te gebruiken he?!
Blijkbaar vind je het allemaal bagger? Dan lekker niet gebruiken, lekker op Internet Explorer 7 blijven werken.

Niet zeuren dat 90% van de sites dan niet meer werken.
Neen, maak software, test die correct en gebruik niet je eindgebruikers als test-vee.
Ik vind heel dit agile ontwikkelen maar niks. 2 releases per jaar en misschien een emergency release indien er toch ergens een critische bug gevonden wordt. Dat je ergens daily releases post voor de liefhebbers , das best ok maar niet voor de massa.

[Reactie gewijzigd door klakkie.57th op 21 maart 2019 17:23]

Zoals eerder gezegd: complexe software die andere software draait (zoals browsers) KUN JE NIET unittesten voor alle inputs, omdat de hoeveelheid input praktisch gezien oneindig is.

Er is geen software op aarde die niet op z'n minst 1 bug heeft die nog niet is gevonden.
Ja wel hoor:
print "hello world";

Zie mijn software hierboven zonder bug. Of deze software

"print "hello world;

Bug is al gevonden.
Je kunt er ook voor kiezen zelf maar 1x per kwartaal te updaten. Heb je zelfde resultaat als vroeger alleen met minder bugs. Door die keuze heb je wel meer security risico.

Waarom? Testen is veel effectiever dan voorheen. Aantal aanvallers met grote capaciteit is toegenomen. Security in browsers is zeer sterk verbeterd: CSP, Prefix cookies, referred policy, HSTS, Forward Secrecy, etc.

[Reactie gewijzigd door djwice op 21 maart 2019 21:35]

Tijd dat de politieke wereld staalhard in gaat grijpen.
die weten nog net wat een browser is..
'Ja, die blauwe E...'

Ontopic: gelijk maar een update gedaan.. Als je het zelf wilt forceren/controleren:
1. Instellingen (rechtsboven, de drie puntjes
2. 'Help'
3. 'About/Over Google Chrome'
4. Eventueel aanklikken dat je wilt updaten, browser herladen en done.
Knap gedaan op Android, denk dat je de instructies verward met de Desktop versie ;)
Het gaat over WebView. Die kun je niet zelf updaten, die zit in het OS ingebakken.
Sinds Android 5 is WebView los van het OS en wordt deze ook los geupdate via de Playstore.
Sinds Android 8 is WebView gebaseerd op de geïnstalleerde Chrome versie.
En als je nou geen Chrome hebt, of em disabled zet? Er zijn genoeg mensen die oprecht Samsung Internet fijner vinden werken, of Opera, of Firefox.

Ik heb nog nooit een update van WebView gezien, dus ook al zoú ie los van het OS geupdate kunnen worden, dat gebeurt blijkbaar niet.
Als je Chrome disabled in Android 8+ valt ie terug op WebView.

Die kun je zelf ook zien als je de ontwikkelaarsopties aan zet en naar "Webview implementation" gaat.
Dan zie je precies welke webview versie er gebruikt wordt.

Zowel WebView (sinds Android 5) als Chrome (sinds Android 8 ) worden ALTIJD automatisch geupdate via de Playstore.
Dat jij het niet ziet, wil niet zeggen dat het niet gebeurd...

[Reactie gewijzigd door OverSoft op 21 maart 2019 14:11]

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True