Doctor Web的恶意软件分析人员近期检测到流行的UC浏览器中存在某种“隐藏”功能,可往手机上下载和运行恶意代码。该浏览器能够直接下载“辅助软件”模块,绕过Google Play服务。而这违反了谷歌公司的规定,造成严重的安全威胁,任何未经检查的可疑代码都能被下载到Android设备上。
截至目前,已有5亿多Google Play用户下载了UC浏览器。从互联网下载辅助模块原本是用于软件更新,但从安全方面来说有不小隐患。
例如,在Doctor Web的分析过程中,UC浏览器从远程服务器下载了一个可执行的Linux库文件。该文件不是恶意的,其主要作用是处理MS Office文档和PDF文件。下载后,UC浏览器将库文件保存到其目录下并执行它。但是,此过程违反了谷歌在其应用商店中发布的app规定,即从Google Play下载的app不能随意更改自己的代码或从第三方下载任何辅助组件。这主要是为了防止某些隐藏的很深的木马进行大规模传播模。例如Doctor Web在2018年1月和4月报告的android.remotecode.127.origin和android.remotecode.152.origin。
自从2016年以来,UC浏览器就存在这个不安全的更新功能。虽然目前还没出恶意软件传播的迹象,但不可能永远确保攻击者不会染指浏览器开发者的服务器。
而且,UC浏览器的这个功能还可用作中间人攻击(MITM)。当需要下载新的插件时,浏览器会向某台服务器发出请求,并接收到某个文件的链接,然后下载运行文件。由于浏览器通过不安全的信道(使用了HTTP协议而不是加密的HTTPS)与服务器通信,因此网络攻击者可以拦截服务器的回应。使用恶意软件地址进行替换,这使得浏览器直接在后台下载恶意软件。而且由于UC浏览器会使用未签名的插件,因此它将在不进行任何验证的情况下启动恶意软件。
Doctor Web还模拟了一个攻击的情景。视频显示某个受害者通过UC浏览器下载了一个PDF文档并试图查看它。而为了要打开PDF文件,浏览器会尝试从某台服务器下载阅读的插件。但是,由于遭受了MITM攻击,浏览器会下载并启动另一个恶意模块。然后受害者就会看到手机上显示着“pwned!“。
因此,这种MITM攻击可以帮助网络攻击者通过UC浏览器传播各种恶意插件,从窃取文件到完全控制手机,无所不能。
演示地址:https://youtu.be/Nfns7uH03J8
UC浏览器的迷你版也同样存在这个问题。至少从2017年12月起迷你版就拥有了这个不安全的功能。到目前为止,超过100000000名Google Play用户下载了这个app。值得说明的是,上述MITM攻击无法在这个迷你版上生效。
安全专家立马联系了这两种浏览器的开发人员,但他们拒绝对此发表评论。随后,我们也立马向谷歌报告了这一情况。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://news.drweb.com/show/?i=13176