声明:以下全文参考drweb和thehackernews官方发布的分析报告
链接如下:
https://news.drweb.com/show/?lng=en&i=13176
https://thehackernews.com/2019/03/uc-browser-android-hacking.html
如原文有不实报道,请与drweb和thehackernews联系,本文仅供技术参考,涉及公司名称已用英文表示。为避免引起法律纠纷,本文基于链接文章进行翻译转述以及一些信息补充。
自2016年以来,UC浏览器中出现了一个潜在危险的更新功能。尽管该应用程序还没有看到分发木马或不需要的软件,但它加载和启动新的和未经验证的模块的功能构成了潜在的威胁。
因为无法确定网络犯罪分子是否永远不会得到浏览器开发人员的服务器或使用更新功能来感染数以亿计的Android设备。
UC浏览器的易受攻击的功能可用于执行中间人攻击(MITM)。
为了下载新插件,浏览器向命令和控制服务器发送请求,并接收响应文件的链接。
由于程序通过不安全的通道(HTTP协议而不是加密的HTTPS)与服务器通信,因此网络犯罪分子可以hook来自应用程序的请求。他们可以用包含不同地址的命令替换命令。
这使得浏览器从恶意服务器而不是自己的命令和控制服务器下载新模块。
由于UC浏览器使用未签名的插件,它将启动恶意模块而无需任何验证。
下面为视频验证案例
该视频显示了通过UC浏览器下载PDF文档并尝试查看的潜在受害者。
要打开文件,浏览器会尝试从命令和控制服务器下载相应的插件。但是,由于MITM替换,浏览器会下载并启动不同的库。然后,该库会创建一条文本消息,上面写着“PWNED!”。
下载PDF文档。
打开PDF。
利用中间人攻击替换下载的相应的插件,改为会创建一个写着pwned文档的文本消息的插件。
因此,MITM攻击可以帮助网络犯罪分子使用UC浏览器传播执行各种操作的恶意插件。例如,他们可以显示网络钓鱼邮件以窃取用户名,密码,银行卡详细信息和其他个人数据。此外,木马模块将能够访问受保护的浏览器文件并窃取存储在程序目录中的密码。
UC Browser Mini,也可以绕过未经测试的组件,绕过Google Play服务器。自2017年12月至少,它已经配备了此功能。到目前为止,已有超过100,000,000名Google Play用户下载了该程序,使其全部面临风险。但是,与UC浏览器不同,上述MITM攻击不适用于UC Browser Mini。
在检测到UC浏览器和UC浏览器Mini中的危险功能后,Doctor Web专家联系了两个浏览器的开发人员,但他们拒绝就此事发表评论。
因此,我们的恶意软件分析师随后向Google报告此案,但截至本文发布之日,这两款浏览器仍然可用,可以绕过Google Play服务器下载新组件。
Android设备的所有者应该独立决定是继续使用这些程序还是删除它们,并等待它们更新以修复潜在的漏洞。
黑鸟对此不发表任何评论,因为不知道该说什么。
这种功能可能会在公司服务器受到攻击的供应链攻击场景中被滥用,允许攻击者同时向大量用户推送恶意更新 - 就像我们最近在华硕供应链攻击中看到的那样这破坏了超过100万台计算机。
如下图第一张图片点击进去所看到的相似。
可点击图片查看历史看点:
欢迎点击下面图片,加入知识星球,获取更多情报姿势。
喜欢的朋友可以点赞转发,感谢支持
176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
