- PVSM.RU - https://www.pvsm.ru -

Пользователи UC Browser и UC Browser Mini могли быть уязвимы к атаке посредника

image

Пользователи мобильных браузеров UC Browser и UC Browser Mini могли стать жертвами атаки «человек посередине» [1]. Браузеры уличили в том, что они загружают файлы Android Package Kit (APK) со сторонних серверов через незащищенные каналы.

Всего UC Browser и UC Browser Mini скачали более 600 млн раз.

Выяснилось, что приложения загружают дополнительные APK из сторонних источников, загрузка осуществляется через незащищенные каналы, а APK загружается во внешнее хранилище (/storage/emulated/0).

Специалисты ThreatLabZ отметили, что это поведение нарушает политику Google Play Store, так как приложения «не могут модифицироваться, заменяться или обновляться каким-то иным способом, кроме как с помощью механизма обновлений Google Play», а также не могут «загружать исполняемый код (файлы dex, JAR, .so) из других источников, кроме Google Play».

Ранее, в августе, Google уведомили об этой проблеме, а та в сентябре сообщила о ней разработчикам UC Browser и UC Browser Mini. Теперь приложения перестали загружать APK из сторонних источников.

UC Browser, ведущий мобильный браузер на рынках Китая и Индии и четвертый по популярности в мире по версии StatCounter, разработан компанией UCWeb, принадлежащей китайской Alibaba Group.

В марте этого года специалисты также уличили его в установке дополнительных файлов с серверов UCWeb [2] через незащищенные HTTP-соединения. Приложение desktop UC Browser было уязвимо для атак MiTM, потенциально позволяя злоумышленникам загружать вредоносные расширения на устройства пользователей.

Спустя два месяца эти приложения подвергали своих пользователей опасности атак с подменой URL [3].

В 2015 году Citizen Lab обнаружила нарушения правил конфиденциальности и безопасности в UC Browser, когда в сеть утек значительный объем личных и идентифицирующих личность данных; в том числе информация о сотовом абоненте, идентификаторы мобильных устройств, данные геолокации и поисковые запросы.

См. также: «Ищем уязвимости в UC Browser [4]»

Между тем Федеральное управление по информационной безопасности протестировало четыре основных браузера [5]: Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 и Microsoft Edge 44. Выяснилось, что самым надежным для пользователей является Firefox. Однако агентство не рассматривало в своем исследовании Safari, Brave, Opera и Vivaldi.

Автор: maybe_elf

Источник [6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/333774

Ссылки в тексте:

[1] могли стать жертвами атаки «человек посередине»: https://www.zscaler.com/blogs/research/uc-browser-app-abuses-may-have-exposed-500-million-users

[2] в установке дополнительных файлов с серверов UCWeb: https://www.bleepingcomputer.com/news/security/uc-browser-for-android-desktop-exposes-500-million-users-to-mitm-attacks/

[3] подвергали своих пользователей опасности атак с подменой URL: https://www.bleepingcomputer.com/news/security/uc-browser-for-android-vulnerable-to-url-spoofing-attacks/

[4] Ищем уязвимости в UC Browser: https://habr.com/ru/company/drweb/blog/451936/

[5] протестировало четыре основных браузера: https://habr.com/ru/news/t/472074/

[6] Источник: https://habr.com/ru/post/472142/?utm_campaign=472142&utm_source=habrahabr&utm_medium=rss