Cотни миллионов пользователей UC Browser для Android находятся под угрозой
26 марта 2019 года
На данный момент число загрузок UC Browser из Google Play превысило 500 000 000. Всем установившим эту программу угрожает потенциальная опасность. Специалисты компании «Доктор Веб» обнаружили в ней скрытую возможность загрузки вспомогательных компонентов из Интернета. Браузер принимает от управляющего сервера команды для скачивания новых библиотек и модулей — они добавляют в программу новые функции и могут использоваться для ее обновления.
Например, при анализе UC Browser загрузил с удаленного сервера исполняемую Linux-библиотеку, которая не является вредоносной и предназначена для работы с документами офисного пакета MS Office, а также файлами формата PDF. Изначально эта библиотека отсутствует в составе браузера. После скачивания программа сохранила ее в свой рабочий каталог и запустила на исполнение. Таким образом, фактически приложение получает и выполняет код в обход серверов Google Play. Это нарушает правила корпорации Google для программ, распространяемых через ее каталог ПО. Согласно действующей политике скачанные из Google Play приложения не могут изменять собственный код, а также загружать какие-либо программные компоненты из сторонних источников. Данные правила появились для борьбы с модульными троянцами, которые скачивают и запускают вредоносные плагины. Яркие примеры таких троянцев — Android.RemoteCode.127.origin и Android.RemoteCode.152.origin, о них наша компания сообщала в январе и апреле 2018 года.
Потенциально опасная функция обновления присутствует в UC Browser как минимум с 2016 года. Несмотря на то, что приложение не было замечено в распространении троянских или нежелательных программ, его способность загружать и запускать новые и непроверенные модули представляет потенциальную угрозу. Нет гарантии, что злоумышленники не получат доступ к серверам разработчика браузера и не используют встроенную в него функцию обновления для заражения сотен миллионов Android-устройств.
Уязвимая функция UC Browser может использоваться для выполнения атак типа «человек посередине» — MITM (Man in the Middle). Для загрузки новых плагинов браузер делает запрос к управляющему серверу и получает от него ссылку на файл. Поскольку программа общается с сервером по незащищенному каналу (протоколу HTTP вместо шифрованного HTTPS), злоумышленники способны перехватывать сетевые запросы приложения. Атакующие могут подменять поступающие команды, указывая в них адрес вредоносного ресурса. В результате программа скачает новые модули с него, а не с настоящего управляющего сервера. Т. к. UC Browser работает с неподписанными плагинами, он запустит вредоносные модули без какой-либо проверки.
Ниже приведен пример такой атаки, смоделированной нашими вирусными аналитиками. На видео показано, как потенциальная жертва скачивает через UC Browser и пытается просмотреть в нем pdf-документ. Для открытия файла браузер пытается скачать с управляющего сервера соответствующий плагин, однако из-за подмены адреса сервера «человеком посередине» UC Browser загружает и запускает другую библиотеку. Эта библиотека создает СМС-сообщение с текстом «PWNED!».
Таким образом, с использованием MITM-атаки злоумышленники могут распространять через UC Browser вредоносные плагины, способные выполнять самые разнообразные действия. Например, показывать фишинговые сообщения для похищения логинов, паролей, информации о банковских картах и других персональных данных. Кроме того, троянские модули смогут получить доступ к защищенным файлам браузера и украсть сохраненные в нем пароли от веб-сайтов, которые находятся в рабочем каталоге программы.
Подробнее об этой уязвимости можно прочитать по ссылке.
Возможность загрузки непроверенных компонентов в обход серверов Google Play есть и у «младшего брата» браузера — приложения UC Browser Mini. Эта функция появилась в нем не позднее декабря 2017 года. К настоящему времени программу загрузили свыше 100 000 000 пользователей Google Play, все они также находятся под угрозой. Однако, в отличие от UC Browser, в UC Browser Mini описанная выше MITM-атака не сработает.
После обнаружения опасной функции в UC Browser и UC Browser Mini специалисты «Доктор Веб» связались с их разработчиком, однако тот отказался от комментариев. Вслед за этим вирусные аналитики сообщили о находке в компанию Google, но на момент выхода этой публикации оба браузера все еще были доступны для загрузки и по-прежнему могли скачивать новые компоненты в обход серверов Google Play. Владельцы Android-устройств должны самостоятельно решить, продолжить ли использовать эти программы или удалить их и подождать выхода их обновления с исправлением потенциальной уязвимости.
Компания «Доктор Веб» продолжает следить за развитием ситуации.
Ваш Android нуждается в защите
Используйте Dr.Web
Скачать бесплатно
- Первый российский антивирус для Android
- Более 140 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
Источник: Доктор Веб