Digital Whoigital

К вам пришла белочка! В UC Browser обнаружили серьезную проблему

Author: Zhan Qaiyr
27 марта 2019

Весьма распространенный мобильный браузер UC Browser, принадлежащий AliBaba Group, представляет серьезную угрозу безопасности данных пользователей

Суммарное количество скачиваний "Белки" превысило 400 млн раз
Суммарное количество скачиваний «Белки» превысило 400 млн раз

Об этом заявили специалисты компании “Доктор Веб”. Было выявлено, что с 2016 года приложение позволяет автоматически загружать и выполнять код, в том числе и вредоносный. Уязвимость потенциально угрожает Android-устройствам, нарушая, таким образом правила корпорации Google для программ, распространяемых через ее каталог ПО. Такие правила предназначены для борьбы с модульными троянцами.

Правда, отмечается, что распространение троянов на данный момент не было замечено.

Выяснилось, что передача данных на устройства осуществляется в открытом виде по HTTP, хотя должна быть установленая защищенная версия протокола — HTTPS. Используя эту прореху, злоумышленники способны совершить атаку MITM (Man in the Middle). Обычно браузер, загрузив новые плагины, совершает запрос к управляющему серверу и получает от него ссылку на файл, перехватывая сетевые запросы приложения. Возможна подмена поступающих команд на адрес вредоносного ресурса, который, в свою очередь, запустится без верификации из-за того, что браузер работает с неподписанными плагинами.

С целью фишинга “черные” хакеры способны выудить учетные данные и другую конфиденциальную информацию пользователей. Троянские модули могут получить доступ и к защищенным файлам браузера.

UC Browser является флагманским продуктом компании UCWeb, которая выпустила первую версию в далеком 2004 году. Китайский браузер всегда отличался компактностью и некоторыми интересными возможностями: перелистывание страниц с помощью кнопок громкости, сжатие трафика с помощью собственного алгоритма, возможность установки на тысячи различных моделей телефонов, включая кнопочные. Разработчики продолжают поддерживать версии даже для уже мертвых операционных систем типа Symbian и Blackberry.


Смотрите также