h的Android版Chrome中修复了一个安全漏z,泄露了智能手机的“硬件型受固件版本”和“设备安全补丁”别的信息?/p>
2015q?月,安全研究人员W一ơ向h工程师报告了q个问题。这是安全研Ih员第一ơ向h工程师报告这个问题的事实Q直到chrome员工自己意识到ChromeforAndroid暴露的信息确实很危险Q因为它可能被用来攻ȝ标和用户指纹?/p>
|络安全研究人员?015q的一博客文章中首次记录了手头的错误。之后,nihawatch的研Ih员发玎ͼAndroid用户代理string的Chrome比桌面版的Chrome拥有更多的信息?/p>
在Chrome览器详l信息和操作pȝ版本号信息的剙QAndroid用户代理字符串的Chromeq包含有兌备名U及其固件版本的信息?/p>
CZ:“ST26i Build/LYZ28K?/p>
暴露讑֤名称是很危险的,比如ST26IQ因些名UC是一些通用术语。例如,讑֤名称可以Ҏ(gu)已知的公共列表轻松{换ؓ准确的智能手机型受?/p>
但最大的问题是固件的内置数量?/p>
Nighawatch的研Ih员在圣诞假期的一更新博客中表示Q对于许多设备来_q不仅可以用来识别设备,q可以用来识别它q行的运营商和来自哪个国家。从刉商和电(sh)话运营商的网?此类|站)上很Ҏ(gu)获得施工数据?/p>
从上面可以很Ҏ(gu)地看出,构徏LYZ28K的例子可以很Ҏ(gu)地被识别行在T-Mobile上的Nexus6Q这意味着用户的存在,研究人员说?/p>