Προσοχή! Αν χρησιμοποιείτε το πρόγραμμα περιήγησης UC στα smartphone σας, θα πρέπει να το απεγκαταστήσετε αμέσως. Γιατί; Επειδή το UC Browser που έχει κατασκευαστεί από την Κίνα περιέχει μια “αμφισβητήσιμη” δυνατότητα που θα μπορούσε να εκμεταλλευτεί από απομακρυσμένους εισβολείς για αυτόματη λήψη και εκτέλεση κώδικα στις συσκευές Android.
Αναπτύχθηκε από το UCWeb που ανήκει στην Alibaba, ο UC Browser είναι ένα από τα πιο δημοφιλή προγράμματα περιήγησης για κινητά, ειδικά στην Κίνα και την Ινδία, με μια τεράστια βάση χρηστών με πάνω από 500 εκατομμύρια χρήστες παγκοσμίως.
Σύμφωνα με μια νέα έκθεση που δημοσιεύεται σήμερα από την εταιρία Dr. Web, τουλάχιστον από το 2016, ο UC Browser για το Android διαθέτει μια “κρυφή” λειτουργία που επιτρέπει στην εταιρεία να κάνει οποιαδήποτε στιγμή λήψη νέων βιβλιοθηκών και ενοτήτων από τους server της και να τις εγκαταστήσει στις κινητές συσκευές των χρηστών.
Ποιο είναι το ανησυχητικό; Αποδεικνύεται ότι η αναφερθείσα δυνατότητα κάνει λήψη νέων προσθηκών από το server της εταιρείας μέσω ανασφαλούς πρωτοκόλλου HTTP αντί για κρυπτογραφημένο πρωτόκολλο HTTPS, επιτρέποντας έτσι στους επιτιθέμενους να εκτελούν επιθέσεις ” man-in-the-middle” (MiTM) και να «σπρώχνουν» κακόβουλες μονάδες σε στοχευμένες συσκευές.
“Δεδομένου ότι ο περιηγητής UC λειτουργεί με μη υπογεγραμμένα plug-ins, κάνει εκκίνηση σε κακόβουλες ενότητες χωρίς καμία επαλήθευση”, λένε οι ερευνητές.
Σε ένα βίντεο PoC που δημοσιεύτηκε από την Dr. Web, οι ερευνητές κατέδειξαν πως μπορούσαν να αντικαταστήσουν ένα plugin για να προβάλλουν έγγραφα PDF με κακόβουλο κώδικα χρησιμοποιώντας μια επίθεση MiTM, αναγκάζοντας τον Browser UC να συντάξει ένα νέο μήνυμα κειμένου αντί να ανοίξει το αρχείο.
“Έτσι, οι επιθέσεις MITM μπορούν να βοηθήσουν τους κυβερνοεγκληματίες να χρησιμοποιήσουν το UC Browser για να διαδώσουν κακόβουλες προσθήκες που εκτελούν μια ευρεία ποικιλία ενεργειών”, εξηγούν οι ερευνητές.
“Για παράδειγμα, μπορούν να εμφανίσουν μηνύματα ηλεκτρονικού “ψαρέματος” για να κλέψουν ονόματα χρηστών, κωδικούς πρόσβασης, στοιχεία τραπεζικών καρτών και άλλα προσωπικά δεδομένα. Επιπλέον, το trojan θα έχει πρόσβαση σε προστατευμένα αρχεία προγράμματος περιήγησης και θα κλέψει κωδικούς πρόσβασης που είναι αποθηκευμένοι στον κατάλογο προγραμμάτων.
Το πρόγραμμα περιήγησης UC παραβιάζει τις Πολιτικές του Google Play Store
Δεδομένου ότι η δυνατότητα επιτρέπει στο UCWeb να κάνει λήψη και εκτέλεση αυθαίρετου κώδικα στις συσκευές των χρηστών, χωρίς να επανεγκαταστήσει μια πλήρη νέα έκδοση της εφαρμογής UC Browser, παραβιάζει επίσης την πολιτική του Play Store, παρακάμπτοντας τους servers της Google.
“Αυτό παραβιάζει τους κανόνες της Google για το λογισμικό που διανέμεται στο κατάστημα εφαρμογών της. Η τρέχουσα πολιτική αναφέρει ότι οι εφαρμογές που έχουν ληφθεί από το Google Play δεν μπορούν να αλλάξουν τον δικό τους κώδικα ή να μεταφορτώσουν στοιχεία λογισμικού από πηγές τρίτων”, λένε οι ερευνητές.
“Αυτοί οι κανόνες εφαρμόστηκαν για την αποτροπή της διανομής των trojans που κατεβάζουν και εκκινούν κακόβουλες προσθήκες”.
Αυτό το επικίνδυνο χαρακτηριστικό έχει βρεθεί τόσο στο UC Browser, όσο και στο UC Browser Mini, με όλες τις σχετικές εκδόσεις συμπεριλαμβανομένης της πιο πρόσφατης έκδοσης των προγραμμάτων περιήγησης που κυκλοφόρησαν μέχρι σήμερα.
Η Dr. Web ανέφερε υπεύθυνα τα ευρήματά της στον προγραμματιστή τόσο του UC Browser όσο και του UC Browser Mini, αλλά αρνήθηκαν ακόμη και να σχολιάσουν το θέμα. Στη συνέχεια ανέφερε το ζήτημα στην Google.
Αυτή τη στιγμή, ο UC Browser και ο UC Browser Mini είναι “ακόμα διαθέσιμοι και μπορούν να κατεβάσουν νέες προσθήκες παρακάμπτοντας τους servers του Google Play”, λένε οι ερευνητές.
Ένα τέτοιο χαρακτηριστικό μπορεί να χρησιμοποιηθεί σε σενάρια επίθεσης αλυσίδας εφοδιασμού, επιτρέποντας στους επιτιθέμενους να προωθούν κακόβουλες ενημερώσεις σε μεγάλο αριθμό χρηστών ταυτόχρονα – όπως ακριβώς πρόσφατα είδαμε στην επίθεση της αλυσίδας εφοδιασμού της ASUS που έπληξε πάνω από 1 εκατομμύριο υπολογιστές.
Έτσι, οι χρήστες έχουν μόνο μια επιλογή… να απαλλαγούν από τον browser μέχρι η εταιρεία να διορθώσει το πρόβλημα.
