UC浏览器被曝中间人攻击漏洞,全球多达十几亿设备均受影响

标签: 资讯 UC浏览器 中间人攻击 漏洞 | 发表时间:2019-03-27 16:56 | 作者:shidongqi
出处:https://www.freebuf.com

自从 Symbian 时代开始,UC浏览器就已经成为移动端用户量最大的浏览器之一,此后逐渐发展之Android、iOS及Windows平台。目前在Google Play上UC浏览器安装量超过5亿、而在国内某安卓应用市场下载量也超过12亿。

Android端UC浏览器中间人攻击 Demo

而近期,Dr.Web恶意软件分析师发现UC浏览器存在中间人攻击漏洞,允许远程攻击者将恶意模块推送到目标设备。而根据 BleepingComputer 的测试结果,桌面端UC浏览器可能同样容易遭受中间人攻击,导致攻击者可以在用户电脑上下载恶意拓展。

WX20190327-161016@2x.png

根据Google Play的政策,应用程序禁止从Google Play意外的其他来源下载可执行代码。不过,虽然UC浏览器在Google Play上架,但其本身却存在违反上述规定的行为。

根据Dr.Web的分析,UC浏览器可以从远程服务器下载可执行的Linux组件,其本身并不存在恶意行为,只是为了方便打开office、PDF文档。下载之后,该组件会保存到其目录下以供执行。这也意味着,UC浏览器存在直接绕过 Google Play 服务器直接接受和执行代码,这也为中间人攻击提供了可能。

D2lD72TX0AAVOsA.png

为了下载新的插件,UC浏览器会向远程服务器发送请求,并接收响应文件的链接。关键在于,应用程序是通过不安全的通道(HTTP协议而不是加密的HTTPS)与服务器实现通信。攻击者可以hook来自应用的请求并替换命令,使得浏览器在无意识中从恶意服务器下载某个插件。而UC浏览器由于使用未签名的插件,启动恶意插件无需经过任何安全验证。

UC Browser and UC Browse Mini.png WX20190327-112656@2x.png鉴于UC浏览器在全球范围内的装机量,该漏洞所带来的威胁不容小觑。通过这种中间人攻击的模式,犯罪分子可以传播并执行各种恶意差插件,例如可以显示钓鱼邮件以窃取用户名、密码、银行卡信息等多种个人数据,才外,还可木马插件还能够访问受保护的浏览器文件并窃取存储在程序目录中的密码信息。

除了UC浏览器之外,Google Play还上架了一款“UC 浏览器 Mini版”,显示安装次数已经超过1亿。在UC 浏览器 Mini版本中,同样存在绕过Google Play下载未经测试插件的行为,这表明同样存在中间人攻击的风险。不过,上述视频所展示的中间人攻击方式并不适用于Mini版本的UC浏览器。

UC Browser downloding extensions over HTTP.png 桌面端UC浏览器,通过HTTP下载插件

不止在Android版本,BleepingComputer对桌面端UC浏览器进行了类似的测试。桌面端UC浏览器在查看PDF文档时会要求下载额外的插件,通过不安全的HTTP通信从远程服务器下载插件。这意味着攻击者可能通过中间人攻击的方式在用户计算机上下载恶意插件。

在发现该漏洞之后,Dr.Web专家联系了两个浏览器的开发人员,但均拒绝发表评论。于是,Dr.Web方面转而直接将此情况报告给Google,但截止FreeBuf发稿之时,两款UC浏览器在Google Play商店依然可供下载,且该漏洞仍然可被利用。

参考链接

1. https://vms.drweb.com/search/?q=UC%20Browser

2. https://news.drweb.com/show/?i=13176

3. https://www.bleepingcomputer.com/news/security/uc-browser-for-android-desktop-exposes-500-million-users-to-mitm-attacks/

*本文作者:shidongqi,转载请注明来自FreeBuf.COM

相关 [uc 浏览器 中间人] 推荐:

UC浏览器被曝中间人攻击漏洞,全球多达十几亿设备均受影响

- - FreeBuf互联网安全新媒体平台
自从 Symbian 时代开始,UC浏览器就已经成为移动端用户量最大的浏览器之一,此后逐渐发展之Android、iOS及Windows平台. 目前在Google Play上UC浏览器安装量超过5亿、而在国内某安卓应用市场下载量也超过12亿. Android端UC浏览器中间人攻击 Demo. 而近期,Dr.Web恶意软件分析师发现UC浏览器存在中间人攻击漏洞,允许远程攻击者将恶意模块推送到目标设备.

UC浏览器1.0.0(WP7专版)发布

- 洞箫 - cnBeta.COM
UC浏览器1.0专为Windows Phone 7而设,其高集成、全方位、多线程、智能化的强大功能,必为您带来前所未有的爽快体验.高效智能操作流畅,时尚触感以您为尊,是您的爱机玩转移动互联网的最佳伴侣.

UC浏览器被指明文传输用户密码

- - 月光博客
  去年底爆发的互联网 泄密风波正扩散至移动互联网领域,日前,一位自称初级黑客的网友在天涯网发布《 有图有真相 你还敢用UC上网吗. 》的帖子,声称UC浏览器使用明文的方式传输用户密码,导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码.   该文章给出了一个教程,通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP,在电脑上安装Wireshark软件进行抓包,如果用户使用UC浏览器登录Gmail、Hotmail等网站,用户提交的用户名和密码就会被Wireshark截获,使得原本安全的HTTPS连接信息,包含用户名和密码都遭到明文泄漏.

UC未出,百度先行—百度浏览器WP7版本评测

- xcv58 - 玩转WP
(玩转WP7评测频道)今天,百度发布了Windows Phone 7版本的百度浏览器. 百度手机浏览器是百度移动客户端团队倾心打造的掌上产品,它基于最新的浏览内核,通过几十项技术改进,全面提速手机浏览,为您解决手机屏幕小、流量有限和网络不稳定等问题,轻松浏览各类网站. 发微博、看新闻、浏览论坛、搜索和下载软件神马的都很给力.

QQ和UC浏览器哪个是手机必装软件?或许你从未听说过的Onavo才是

- boho - 36氪
QQ和UC浏览器哪个是手机必装软件. 昨天互联网大会上UCWeb总裁俞永福表示两者都是. 我们微博直播这条消息后,也有很多读者朋友们表示不屑. 那到底有没有一款手机必装软件呢. 著名科技博客Techcrunch的答案是:有,一款名叫Onavo的软件就是所有的手机用户必装的(目前只有iOS版). 据描述,该应用是一款免费的流量压缩应用,而且在压缩数据流量的同时还不会限制网速.

UC浏览器与银联合作 银联卡可直接进行移动支付

- - TechWeb 今日焦点 RSS阅读
  UC优视CEO俞永福表示,银联-UC移动安全支付解决方案目标是2013年用户超过1000万.   【TechWeb报道】4月24日消息,中国银联与UC优视签署战略合作协议,推出基于UC浏览器的银联移动安全支付解决方案.   使用UC浏览器8.3版本的用户,可直接在UC浏览器内使用银联信用卡或借记卡(均指卡号以62开头,卡面有银联标识)完成移动支付.

UC浏览器Android版本正式发布8.2版更新,主打语音控制

- - 36氪
Siri的横空出世又带火了一个概念——语音控制. 似乎现在什么产品都要与语音沾上一点边了. 前不久有国内的团队开发了Android版Siri“ Airi”,今天Android版UC浏览器又发布了 8.2更新,主打语音控制. 安装该浏览器后,你会发现底部有一个麦克风的按钮,通过这个按钮你就可以对浏览器实行语音指令了.

UC浏览器宣布进军移动搜索领域,联合阿里推出移动搜索引擎“神马”

- - 36氪 | 关注互联网创业
“ 神马”不一定都是浮云,还有可能是移动搜索引擎. 在今天的UC十周年庆典上,UC浏览器正式对外发布了和阿里巴巴合作推出的移动搜索引擎新品牌—— 神马(域名是sm.cn......),也意味着UC浏览器将正式进军移动搜索领域. “ 神马”搜索号称定位为“全球移动搜索的创新者”,按照俞永福的话说就是,彻底摈弃了PC搜索领域的包袱,全部遵循移动互联网的用户体验.

UC浏览器中文版被发现会收集发送用户隐私数据

- - Solidot
加拿大多伦多大学公民实验室调查和比较了中文版UC浏览器和英文版UC浏览器,其中中文版被发现会收集和发送用户的隐私数据,但英文版却没有这么多隐私问题,明显内外有别. UC浏览器号称有5亿注册用户,是全球第四大移动浏览器,仅次于 Chrome、Android浏览器和Safari,每天有1亿活跃用户,它已被阿里巴巴收购.

移动浏览器的需求弱化之后,UC 想要变成你的资讯阅读器

- - PingWest品玩
“趋势来了,即便不做什么,也会被推着向前走,大家非常高兴;趋势走了,谁都挡不住”. UC 总裁何小鹏今天讲的这句话应该可以引起很多移动互联网行业从业者的共鸣,这其实也是 UC 浏览器自身的真实经历. 作为一款已经 12 年的老产品,UC 浏览器现在决定去抓内容这个新趋势. 不用我说,你可能也觉得自己现在用浏览器的时长在降低.