研究人员在谷歌铬浏览器中发现了一个关键漏洞，该漏洞可用于窃取个人数据。积极科技(Positive Technologies)研究员谢尔盖托申(Sergei Toshen)在去年12月发现了这个漏洞，并于今年1月向谷歌披露，几周后修复。没有迹象表明它已被积极使用，但考虑到该漏洞的广泛影响，很难确定。

该漏洞在1月份的谷歌补丁描述中被简要披露，该描述仅被描述为高度严重的漏洞，“策略实施不足。”在积极科技的一份新报告后，我们现在知道这个漏洞影响了安卓的WebView组件，该组件通常用于在安卓应用程序中显示页面。更广泛地说，这个漏洞存在于谷歌的Chromium引擎中，并且存在于安卓4.4及更高版本的所有版本中。

“恶意负载”

黑客可能会通过将用户链接到恶意即时应用程序来利用此漏洞，这些应用程序将运行可以访问手机硬件的小文件。从那里，攻击者可以拦截用户数据。“此类应用程序可以在包含恶意负载的更新后从WebView读取信息。这使得能够访问浏览器历史记录、通常用于登录移动应用程序的身份验证令牌和其他重要数据，”积极科技公司网络安全弹性主管Leigh-Anne Galloway说。

任何运行安卓7.0及更高版本的用户都应该在1月份更新他们的谷歌Chrome浏览器，而运行安卓早期版本的用户必须通过谷歌Play更新WebView。没有谷歌Play的安卓用户必须等待设备制造商的更新。