Пользователи мобильных браузеров UC Browser и UC Browser Mini могли стать жертвами атаки «человек посередине». Браузеры уличили в том, что они загружают файлы Android Package Kit (APK) со сторонних серверов через незащищенные каналы.
Всего UC Browser и UC Browser Mini скачали более 600 млн раз.
Выяснилось, что приложения загружают дополнительные APK из сторонних источников, загрузка осуществляется через незащищенные каналы, а APK загружается во внешнее хранилище (/storage/emulated/0).
Специалисты ThreatLabZ отметили, что это поведение нарушает политику Google Play Store, так как приложения «не могут модифицироваться, заменяться или обновляться каким-то иным способом, кроме как с помощью механизма обновлений Google Play», а также не могут «загружать исполняемый код (файлы dex, JAR, .so) из других источников, кроме Google Play».
Ранее, в августе, Google уведомили об этой проблеме, а та в сентябре сообщила о ней разработчикам UC Browser и UC Browser Mini. Теперь приложения перестали загружать APK из сторонних источников.
UC Browser, ведущий мобильный браузер на рынках Китая и Индии и четвертый по популярности в мире по версии StatCounter, разработан компанией UCWeb, принадлежащей китайской Alibaba Group.
В марте этого года специалисты также уличили его в установке дополнительных файлов с серверов UCWeb через незащищенные HTTP-соединения. Приложение desktop UC Browser было уязвимо для атак MiTM, потенциально позволяя злоумышленникам загружать вредоносные расширения на устройства пользователей.
Спустя два месяца эти приложения подвергали своих пользователей опасности атак с подменой URL.
В 2015 году Citizen Lab обнаружила нарушения правил конфиденциальности и безопасности в UC Browser, когда в сеть утек значительный объем личных и идентифицирующих личность данных; в том числе информация о сотовом абоненте, идентификаторы мобильных устройств, данные геолокации и поисковые запросы.
См. также: «Ищем уязвимости в UC Browser»
Между тем Федеральное управление по информационной безопасности протестировало четыре основных браузера: Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 и Microsoft Edge 44. Выяснилось, что самым надежным для пользователей является Firefox. Однако агентство не рассматривало в своем исследовании Safari, Brave, Opera и Vivaldi.
Автор: maybe_elf
