Được phát hiện bởi nhà nghiên cứu công nghệ tích cực (Positive Technologies) Serge Toshin vào tháng 12 năm ngoái, lỗ hổng đã được báo cáo đến Google vào đầu tháng 1 năm nay và ngay sau đó hãng này đã phát hành một bản vá cho người dùng Android.

Tuy nhiên, Google gần như không đề cập đến lỗ hổng đã được báo cáo từ tháng 01, thay vào đó hãng này đã giải quyết lỗ hổng nghiêm trọng khác là CVE-2019-5765, được mô tả là không thực thi mệnh lệnh trong trình duyệt.

Theo Positive Technologies, WebView là một trong những phần bị ảnh hưởng bởi lỗ hổng bảo mật, nên bất cứ bản phát hành nào của Android kể từ phiên bản 4.4 đều bị phơi bày trước tin tặc. Và rõ ràng, vì Chromium là công cụ bị ảnh hưởng, nên không chỉ trình duyệt Google Chrome có thể cho phép tin tặc xâm nhập vào các thiết bị Android, mà còn tất cả các ứng dụng khác sử dụng cùng một công cụ.

Công cụ WebView được sử dụng trong hầu hết các ứng dụng di động Android, khiến các cuộc tấn công thông qua hình thức này trở nên cực kỳ nguy hiểm. Kịch bản tấn công rõ ràng nhất là liên quan đến các ứng dụng bên thứ ba ít được biết đến. Sau khi cài đặt bản cập nhật có chứa mã độc hại, các ứng dụng có thể đọc thông tin từ WebView, cho phép tin tặc truy cập vào lịch sử trình duyệt, cũng như mã thông báo xác thực, tiêu đề (thường được sử dụng để đăng nhập trong ứng dụng di động) và các dữ liệu quan trọng khác.

Việc quan trọng nhất của người dùng bây giờ là cập nhật lên phiên bản Google Chrome mới nhất và các ứng dụng khác được cài đặt trên thiết bị sử dụng cùng một công cụ và thành phần WebView.

Hiện các chuyên gia bảo mật chưa đưa ra thêm bất cứ thông tin nào mới về lỗ hổng bảo mật kể trên, nhưng Google Chrome chắc vẫn chưa thoát khỏi tầm ngắm của tin tặc.