26 марта 2019 года
На данный момент число загрузок UC Browser из Google Play превысило 500 000 000. Всем установившим эту программу угрожает потенциальная опасность. Специалисты компании «Доктор Веб» обнаружили в ней скрытую возможность загрузки вспомогательных компонентов из Интернета. Браузер принимает от управляющего сервера команды для скачивания новых библиотек и модулей — они добавляют в программу новые функции и могут использоваться для ее обновления.
Например, при анализе UC Browser загрузил с удаленного сервера исполняемую Linux-библиотеку, которая не является вредоносной и предназначена для работы с документами офисного пакета MS Office, а также файлами формата PDF. Изначально эта библиотека отсутствует в составе браузера. После скачивания программа сохранила ее в свой рабочий каталог и запустила на исполнение. Таким образом, фактически приложение получает и выполняет код в обход серверов Google Play. Это нарушает правила корпорации Google для программ, распространяемых через ее каталог ПО. Согласно действующей политике скачанные из Google Play приложения не могут изменять собственный код, а также загружать какие-либо программные компоненты из сторонних источников. Данные правила появились для борьбы с модульными троянцами, которые скачивают и запускают вредоносные плагины. Яркие примеры таких троянцев — Android.RemoteCode.127.origin и Android.RemoteCode.152.origin, о них наша компания сообщала в январе и апреле 2018 года.
Потенциально опасная функция обновления присутствует в UC Browser как минимум с 2016 года. Несмотря на то, что приложение не было замечено в распространении троянских или нежелательных программ, его способность загружать и запускать новые и непроверенные модули представляет потенциальную угрозу. Нет гарантии, что злоумышленники не получат доступ к серверам разработчика браузера и не используют встроенную в него функцию обновления для заражения сотен миллионов Android-устройств.
Уязвимая функция UC Browser может использоваться для выполнения атак типа «человек посередине» — MITM (Man in the Middle). Для загрузки новых плагинов браузер делает запрос к управляющему серверу и получает от него ссылку на файл. Поскольку программа общается с сервером по незащищенному каналу (протоколу HTTP вместо шифрованного HTTPS), злоумышленники способны перехватывать сетевые запросы приложения. Атакующие могут подменять поступающие команды, указывая в них адрес вредоносного ресурса. В результате программа скачает новые модули с него, а не с настоящего управляющего сервера. Т. к. UC Browser работает с неподписанными плагинами, он запустит вредоносные модули без какой-либо проверки.
Ниже приведен пример такой атаки, смоделированной нашими вирусными аналитиками. На видео показано, как потенциальная жертва скачивает через UC Browser и пытается просмотреть в нем pdf-документ. Для открытия файла браузер пытается скачать с управляющего сервера соответствующий плагин, однако из-за подмены адреса сервера «человеком посередине» UC Browser загружает и запускает другую библиотеку. Эта библиотека создает СМС-сообщение с текстом «PWNED!».
Таким образом, с использованием MITM-атаки злоумышленники могут распространять через UC Browser вредоносные плагины, способные выполнять самые разнообразные действия. Например, показывать фишинговые сообщения для похищения логинов, паролей, информации о банковских картах и других персональных данных. Кроме того, троянские модули смогут получить доступ к защищенным файлам браузера и украсть сохраненные в нем пароли от веб-сайтов, которые находятся в рабочем каталоге программы.
Подробнее об этой уязвимости можно прочитать по ссылке.
Возможность загрузки непроверенных компонентов в обход серверов Google Play есть и у «младшего брата» браузера — приложения UC Browser Mini. Эта функция появилась в нем не позднее декабря 2017 года. К настоящему времени программу загрузили свыше 100 000 000 пользователей Google Play, все они также находятся под угрозой. Однако, в отличие от UC Browser, в UC Browser Mini описанная выше MITM-атака не сработает.
После обнаружения опасной функции в UC Browser и UC Browser Mini специалисты «Доктор Веб» связались с их разработчиком, однако тот отказался от комментариев. Вслед за этим вирусные аналитики сообщили о находке в компанию Google, но на момент выхода этой публикации оба браузера все еще были доступны для загрузки и по-прежнему могли скачивать новые компоненты в обход серверов Google Play. Владельцы Android-устройств должны самостоятельно решить, продолжить ли использовать эти программы или удалить их и подождать выхода их обновления с исправлением потенциальной уязвимости.
Компания «Доктор Веб» продолжает следить за развитием ситуации.
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 140 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
Нам важно Ваше мнение
Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @
Другие комментарии