Den populære UC Browser og UC Browser Mini Apps til Android er sårbare over for løse spoofing angreb. Den aktuelle status for den sårbarhed opdaget af sikkerhedsekspert Arif Khan er unpatched, og det ikke har en CVE tildelt endnu.
Mere om UC Browser Sårbarhed
Khan opdaget ”en URL-adresse Bar spoofing sårbarhed i den nyeste version af UC Browser 12.11.2.1184 og UC Browser Mini 12.10.1.1192 der har over 500mn og 100mn installerer hver henholdsvis, som pr PlayStore".
Endvidere, fejlen gør det muligt for angribere at maskerade deres phishing domæner som hjemmesiden de er rettet mod. Hvad betyder det? Den blogspot.com domæne kan foregive at være facebook.com, Khan forklarede, ved at narre brugeren til at besøge www.google.com.blogspot.com/?q = www.facebook.com.
Mere specifikt, sårbarheden stammer fra den måde brugergrænsefladen af begge browsere omhandler en specifik indbygget funktion, der var beregnet til at forbedre Google-søgning oplevelse for brugerne. Sikkerheden brist kan give en hacker at overtage URL-strenge, der vises i adresselinjen. Dette kunne føre til et ondsindet websted udgør som en legitim én, som beskrevet i eksemplet med Google og BlogSpot ovenfor.
Det er vigtigt at nævne, at forskeren kom på tværs det samme spørgsmål i Mi og Mint browsere, der er forudinstalleret på Xiaomi smartphones:
Tidligere, Jeg skrev om dette emne, der påvirker Xiaomi Mi og Mint browsere, men nu UC Browsere (kun nyeste versioner) deler den samme adfærd meget til min overraskelse.
Forskeren nævner også, at nogle gamle og andre versioner af UC Browsere er stadig ikke sårbare over for dette spørgsmål, et faktum, som er temmelig forvirrende. Måske betyder det, at en ny funktion kan være blevet føjet til browseren for nylig som er årsag til sårbarheden.
Hvad gjorde Khan do? Han rapporterede resultaterne til sikkerheden team af UC Browser mere end en uge siden, men spørgsmålet er stadig uløst. Det fremgår, at hans rapport simpelthen blev ignoreret.
Andre populære browsere såsom Edge og Safari viste sig også at indeholde adresse spoofing fejl. Sidste år, Pakistansk-baseret sikkerhed forsker Rafay Baloch rapporterede, at både Microsoft Edge og Safari possesed en adresselinje spoofing sårbarhed. Erklæringen blev fremsat, efter at han testede browsere med proof-of-concept JavaScript-kode.
Testene viste, at et løb tilstand efter anmodning fra en ikke-eksisterende havn kan udløses i hukommelsen proces, som tillod skadelig kode til at efterligne adressen. Denne specifikke spørgsmål blev sporet i CVE-2018-8383 rådgivende.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: