6Aug
„Tajna funkcja” w przeglądarce UC umożliwia hakerom włamanie się do urządzeń z Androidem
Doctor Web, wiodąca rosyjska firma zajmująca się zwalczaniem złośliwego oprogramowania, opublikowała w raporcie, że przeglądarka urządzeń mobilnych – „UC Browser” – może zostać wykorzystany przez zdalnych atakujących do automatycznego pobierania i uruchamiania nowych składników oprogramowania z pominięciem Google Play serwery.
Dla nieświadomych przeglądarka UC Browser, opracowana przez chińską firmę UCWeb należącą do Alibaba, jest jedną z najczęściej używanych przeglądarek urządzeń mobilnych w Indiach i Chinach i ma ponad 500 milionów użytkowników na całym świecie.
Według raportu firmy Doctor Web, chociaż sama przeglądarka UC Browser nie zawiera złośliwego oprogramowania, zawiera ona „tajną funkcję”, ponieważ co najmniej 2016, który umożliwia programistom pobieranie nowych bibliotek i modułów ze swoich serwerów oraz instalowanie ich na urządzeniach mobilnych użytkowników w dowolnym momencie i bez żadnych uwierzytelnianie.
Przeglądarka UC pobiera wtyczkę za pośrednictwem niezabezpieczonego protokołu HTTP, a nie zaszyfrowanego protokołu HTTPS, który umożliwia zdalnym atakującym przeprowadzanie ataków Man-in-the-Middle (MiTM) i ładowanie złośliwych modułów do celu urządzenia.
„Ponieważ przeglądarka UC działa z niepodpisanymi wtyczkami, uruchamia złośliwe moduły bez żadnej weryfikacji” — twierdzą naukowcy.
„Tak więc, aby przeprowadzić atak MITM, cyberprzestępcy będą musieli jedynie przechwycić odpowiedź serwera https://puds.ucweb.com/upgrade/index.xhtml? dataver=pb, zamień link do wtyczki do pobrania oraz wartości atrybutów do weryfikacji, tj. MD5 archiwum, jego rozmiar i rozmiar wtyczki. W rezultacie przeglądarka uzyskuje dostęp do złośliwego serwera w celu pobrania i uruchomienia modułu trojana”.
Badacze zademonstrowali film PoC, który pokazuje potencjalną ofiarę pobierającą dokument PDF za pośrednictwem przeglądarki UC i próbującą go wyświetlić. Aby otworzyć plik, przeglądarka próbuje pobrać odpowiednią wtyczkę z serwera dowodzenia i kontroli. Jednak ze względu na podstawienie MITM przeglądarka pobiera i uruchamia inną bibliotekę. Ta biblioteka tworzy następnie wiadomość tekstową o treści „PWNED!”.
„Dzięki temu ataki MITM mogą pomóc cyberprzestępcom w używaniu przeglądarki UC Browser do rozprzestrzeniania złośliwych wtyczek, które wykonują różnorodne działania” — wyjaśniają badacze.
„Na przykład mogą wyświetlać wiadomości phishingowe w celu kradzieży nazw użytkowników, haseł, danych kart bankowych i innych danych osobowych. Ponadto moduły trojańskie będą mogły uzyskiwać dostęp do chronionych plików przeglądarki i kraść hasła przechowywane w katalogu programu”.
Ta funkcja umożliwia programistom przeglądarek pobieranie i wykonywanie dowolnego kodu na urządzeniach użytkowników bez konieczności instalowania pełnej nowej wersji aplikacji przeglądarki UC. Nie przestrzega również zasad Sklepu Play, ponieważ próbuje ominąć serwery Google.
„To narusza zasady Google dotyczące oprogramowania dystrybuowanego w sklepie z aplikacjami. Obecna polityka stanowi, że aplikacje pobrane z Google Play nie mogą zmieniać własnego kodu ani pobierać żadnych komponentów oprogramowania ze źródeł zewnętrznych” – twierdzą badacze.
„Zasady te zostały zastosowane, aby zapobiec dystrybucji modułowych trojanów, które pobierają i uruchamiają złośliwe wtyczki”.
Badacze odkryli, że ta złośliwa funkcja wpłynęła na przeglądarkę UC Browser, a także przeglądarkę UC Browser Mini i wszystkie wersje przeglądarki UC Browser wydane do tej pory. Specjaliści Doctor Web skontaktowali się z twórcą obu przeglądarek, ale odmówili komentarza w tej sprawie. W rezultacie analitycy złośliwego oprogramowania zgłosili problem do Google.
W momencie pisania tego artykułu zainfekowane aplikacje, UC Browser i UC Browser Mini, są „nadal dostępne i mogą pobierać nowe komponenty, omijając serwery Google Play” – twierdzą badacze.
Analitycy Doctor Web zasugerowali właścicielom urządzeń z Androidem, aby zastanowili się, czy powinni nadal korzystać z tych programów, czy też usunąć je i poczekać, aż zostaną zaktualizowane, aby naprawić potencjalne luki.
Źródło: THN