Chrome voor Android verbergt firmware-versie voor websites
Google heeft eindelijk besloten om de firmware-versie van Androidtoestellen niet meer naar websites te sturen. Andere potentieel gevoelige hardware-informatie wordt nog wel doorgestuurd. Ruim drie jaar geleden in mei 2015 werd Google door onderzoekers van Nightwatch Cybersecurity gewaarschuwd dat de header die Chrome naar webservers stuurt gevoelige hardware-informatie bevat.
Het gaat dan om het hardwaremodel, firmware-versie en patchlevel. "Deze informatie is te gebruiken om gebruikers te volgen en toestellen te fingerprinten. Het is ook te gebruiken om te bepalen voor welke kwetsbaarheden een toestel vatbaar is", aldus onderzoeker Yakov Shafranovich. De informatie die Chrome meestuurt is daarnaast ook te gebruiken om de telecomprovider van de gebruiker te identificeren. Een paar dagen nadat de onderzoekers Google hadden gewaarschuwd ontvingen ze een reactie dat het hier niet om een bug ging en alles "naar behoren werkte".
Eind 2016 gaven de onderzoekers tijdens een hackerconferentie een presentatie over de bug. Vervolgens bleef het stil, maar op 29 oktober 2018 verscheen Chrome versie 70 voor Android waarin de firmware-versie niet meer wordt verstuurd. Het hardwaremodel is nog wel in de user-agent header van de browser te vinden. De onderzoekers spreken dan ook over een "gedeeltelijke oplossing". Gebruikers krijgen het advies om naar Chrome versie 70 of nieuwer te updaten.
My #rse, wellicht Brave met tokens toch beter als Chrome en vuurvos uit het rijk van Big Commerce?R
J.O.
Dit is ook niet de eerste keer dat Google een probleem negeert: zo heeft Mozilla zitten klagen toen YouTube het nieuwe design kreeg, omdat dat gebruik maakte van een stokoud protocol dat alleen Chrome nog ondersteunde zodat YouTube langzamer zou laden via Firefox en Edge. Tevens werd laatst bekend dat YouTube ook nog een lege div bevatte waardoor hardware-acceleratie in Edge werd uitgeschakeld.
https://tweakers.net/nieuws/141373/
https://www.androidauthority.com/0-936422/
Google heeft er helemaal geen baat bij om data te verbergen dus komen dit soort veiligheids issues onderop de stapel te liggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.