谷歌推送更新修复Android TV的高危安全漏洞 可能会暴露用户的私密信息
2024-4-29 15:3:31 Author: www.landiannews.com(查看原文) 阅读量:4 收藏

在 Android 设备上如果已经登录并绑定谷歌账号,则使用诸如谷歌浏览器等应用时可以自动登录谷歌账号,也可以查看 Gmail 邮件或者访问 Google Drive 中存储的文件。

这种设计本身没有太大的问题,毕竟用户一台 Android 设备上绑定自己的账号,正常情况下这台设备应该属于用户而不是其他人。

今年年初有研究人员注意到在 Android TV 上这种设计存在重大隐私问题,原因是有些场合的 Android TV 属于公共性质的,例如酒店中的 Android TV,如果用户也登录自己的谷歌账号则可能暴露私密内容。

谷歌推送更新修复Android TV的高危安全漏洞 可能会暴露用户的私密信息

最初谷歌并不认为这是个问题,原因在于 Android TV 没有预装 Google Chrome 浏览器,而要利用这个漏洞,必须通过旁加载方式安装 Chrome 浏览器,这样 Chrome 才会自动登录 Android TV 绑定的账号,进而查看用户在谷歌应用中保存的数据。

既然没有官方方法可以在 Android TV 上安装 Chrome 例如通过 Google Play 执行安装,那对大多数用户来说这可能不是问题,所以谷歌直接忽略了这个漏洞。

之后美国俄勒冈州参议员、美国参议院情报特别委员会成员罗恩怀登收到了这个问题的报告,随后这名参议员找到谷歌要求解释为什么不修复,谷歌当时给出的回应是这是预期行为,也就是本身就是这么设计的。

最终谷歌还是决定修复这个安全问题,目前适用于 Android TV 的补丁程序已经推送给 Android TV 和 Google TV,一些比较旧的设备也同样会收到更新。

安装此更新后 Chrome 浏览器将不再使用 Android TV 或 Google TV 绑定的账号获取 Token 执行自动登录,当然对于用户来说,在公共设备上登录并绑定自己的账号并不是一个明智的选择,同理在任何公共设备上绑定自己的任何账号都不是明智的选择,如果要临时使用,使用浏览器的隐身模式登录下即可,这样关闭后 Cookies 就会被清空,他人无法再查看你的账号信息。

版权声明:感谢您的阅读,本文由山外的鸭子哥转载或编译自AndroidPolice,如需转载本文请联系原作者获取授权,谢谢理解。


文章来源: https://www.landiannews.com/archives/103625.html
如有侵权请联系:admin#unsafe.sh