Уязвимость нашел сотрудник компании Positive Technologies Сергей Тошин. Поскольку она устранена в обновлении движка от 29 января 2019 года, информацию о ней стало безопасно публиковать. Подробный комментарий С. Тошина появился в четверг, 21 марта.
Благодаря недоработкам в Chromium, на базе которого построен браузер Chrome и компонент ОС Android для предпросмотра веб-страниц в различных системных и сторонних приложениях WebView, злоумышленники могли получить доступ к личным данным пользователей на устройствах. Среди них истории посещений и данные для авторизации в браузерах, сессии мессенджеров и банковских приложений.
Опасность уязвимости заключается в том, что WebView широко используется самыми разными приложениями. Пользователи, как правило, доверяют приложению и отображаемой в нем информации больше, чем веб-браузеру, считая, что контент внутри приложения более безопасный и защищенный. Однако для злоумышленников нет никакой принципиальной разницы, подменить ссылку на специально подготовленную и атаковать устройство через браузер или, например, отдельное приложение интернет-магазина.
Угроза актуальна для устройств, работающих на всех версиях Android, начиная с KitKat (4.4). Тем, кто пользуется девайсами с версией новее, чем 6.0.1, достаточно просто скачать обновление Chrome или системы. Более старое программное обеспечение необходимо обновлять вручную, скачав Android System WebView с Play Market. Гипотетически, уязвимость распространяется не только на все Chromium-браузеры (Яндекс, Opera, Samsung Internet и многие другие), но и на десктопные версии приложений. Свидетельств использования этой лазейки пока не найдено.