Эксперты компании «Доктор Веб» предупреждают об опасной уязвимости мобильного браузера UC Browser и его облегченной версии UC Browser Mini. Незащищенная функция загрузки дополнительных компонентов позволяет злоумышленникам устанавливать на Android-устройства нежелательное ПО и проводить MitM-атаки.

В настоящий момент бесплатные приложения китайского производства набрали суммарно 600 млн загрузок, из которых 500 млн пришлось на полнофункциональную версию. Угроза актуальна для всех пользователей, скачавших UC Browser, с 2016 года — именно тогда в коде появилась небезопасная функция.

Как пояснили специалисты, обе версии приложения могут загружать дополнительные библиотеки и модули в обход серверов Google Play. Например, если пользователь открывает в UC Browser PDF-документ, программа скачивает нужный плагин прямо с сервера разработчика и сразу запускает его на исполнение. Таким образом, если злоумышленники скомпрометируют расположенные в этом хранилище библиотеки, пользователь может получить на свое устройство зловред.

Примечательно, что эта особенность противоречит правилам Google Play. Администрация магазина запрещает разработчикам изменять код и устанавливать обновления из сторонних источников.

Еще одна угроза связана с тем, что коммуникация между UC Browser и сервером осуществляется по незащищенному каналу. Это позволяет преступникам провести MitM-атаку — перехватить запрос программы и подменить адрес загрузки в ответе сервера. Поскольку браузер не проверяет цифровую подпись полученных файлов, вредоносное содержимое будет беспрепятственно скачано и запущено на исполнение. Отмечается, что в UC Browser Mini эта угроза отсутствует.

Эксперты продемонстрировали работающий сценарий на примере гипотетической MitM-атаки, в ходе которой жертва пытается открыть небезопасный PDF-документ. Когда UC Browser обратился к серверу за необходимым модулем, специалисты направили его по другому адресу, откуда приложение скачало ПО для скрытной отправки SMS.

«С использованием MITM-атаки злоумышленники могут распространять вредоносные плагины, способные выполнять самые разнообразные действия, — поясняют исследователи. — Например, показывать фишинговые сообщения для похищения логинов, паролей, информации о банковских картах и других персональных данных. Кроме того, троянские модули смогут получить доступ к защищенным файлам браузера и украсть пароли от веб-сайтов».

По словам аналитиков, на данный момент нет информации о случаях использования обнаруженных брешей в реальных атаках. Однако такие инциденты могут случиться в любой момент, в особенности теперь, когда PoC оказался в открытом доступе. Ранее эксперты не раз отмечали, что эксплойты появляются в течение нескольких дней после публикации уязвимости.

Специалисты сообщили о проблеме разработчикам UC Browser и администраторам Google Play. На момент публикации угроза остается актуальной. В ожидании патча эксперты рекомендуют пользователям отказаться от UC Browser (v. 11.1.5.890–12.10.8.1172) и UC Browser Mini (v. 11.0.2–12.9.7.1179).

Категории: Уязвимости