Функция мгновенных приложений Google позволяет вам пробовать приложения перед их установкой, хотя уязвимость позволяет злоумышленникам использовать эту функцию для кражи данных.
По словам исследователя безопасности Positive Technologies Сергея Тошина, уязвимость в компоненте Android WebView Android позволяет злоумышленникам красть файлы cookie и собирать личную информацию, в том числе историю посещений и токены аутентификации. Уязвимость, обозначенная как CVE-2019-5765, была исправлена в январе, хотя определить, получили ли вы исправление, довольно сложно.
Номинально, для использования этой уязвимости требуется установить другое вредоносное ПО, хотя Positive Technologies указывает, что его можно использовать с помощью Instant Apps, функции, которая позволяет пользователям пробовать приложения без предварительной их установки. Благодаря Instant Apps устройство на платформе Android загружает небольшой файл, который выполняется как собственное приложение. Хотя мгновенные приложения являются временными, они не сохраняются на устройстве после использования.
Google Chrome и система Android Webview 72.0.3626.81 и выше содержат патч для уязвимости. Как правило, Android обновляет приложения автоматически при подключении к Wi-Fi, а Сервисы Google Play обновляются автоматически без предварительного уведомления пользователя. Если ваше устройство на платформе Android регулярно подключено к Интернету, вероятно, ваше обновление установлено. Посмотрите вашу версию Webview.
Для пользователей без Сервисов Google Play есть возможность вручную загрузить WebView. WebView и Chrome являются реализациями браузера Chromium с открытым исходным кодом Google, который также поддерживает браузер Samsung Internet и браузер Yandex.
