det365和万博

UC 浏览器曝出中间人攻击漏洞

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/28 09:26:38 193次阅读 国际
文章来源:https://www.oschina.net/news/105481/uc-browser-for-android-desktop-exposes

? ? ? ? 近日,有安全公司发现 UC 浏览器中存在着中间人攻击漏洞,存在被攻击者推送恶意插件的安全隐患。

5a7c0c8ed612300b87b0f7f8e16775b35fd.jpg

△?UC 浏览器,国内移动端用户量最大的浏览器之一,仅在?Google Play 下载量就超5亿

? ? ? ?据 Dr.web?消息,Doctor Web 恶意软件分析师在 UC 浏览器中发现了隐藏的功能,其中包括下载和运行可疑代码的风险、绕过 Google Play 服务器下载应用、使用未加密的链接等。

? ? ? ?Google Play 不允许收录的应用从 Google Play 以外的地方下载可执行代码,但 UC 浏览器违反了这一规定,可以从远程服务器下载可执行的 Linux 组件。不过据 Dr.Web 分析,这个操作本身不存在恶意行为,而是为了方便用户打开文档。组件可以下载文档,保存到其目录下以供执行。但浏览器这个行为有潜在的威胁,为中间人攻击提供了可能性。

? ? ? ?在下载新插件的过程中,UC 浏览器会向远程服务器发送请求,并接收响应文件的链接。过程中有不容忽略的一点,与服务器通信的这个过程使用的是 HTTP 协议,而不是加密的 HTTPS。这让攻击者可以 hook 来自应用的请求,将命令替换,从而让浏览器在恶意服务器下载插件。UC 浏览器本身使用未签名插件的原因,恶意插件无需安全验证就可启动。

? ? ? ?Dr.web 在测试中也证实了这点,研究人员拦截了 UC 浏览器发送到服务器的消息,成功打开了专门设计的替换模块。

? ? ? ?迷你版 UC 浏览器(Mini UC Browser)也存在可绕过 Google Play 服务器,下载未经测试的插件的问题,但上述的中间人攻击不适用于迷你版的 UC 浏览器。另外,据?BleepingComputer?测试,桌面端 UC 浏览器在查看 PDF 文档时,同样会要求下载额外的插件,并通过不安全的 HTTP 通信从远程服务器下载插件。这意味着攻击者可能可以通过中间人攻击,在用户计算机上下载恶意插件。

? ? ? ?虽然 UC 浏览器本身没恶意,但这个问题是很大风险的中间人攻击漏洞。Doctor Web 专家已联系了浏览器的开发人员,并向 Google 报告了此事,目前暂未收到回应。

参考:Dr.webBleepingComputerFreeBuf


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室