Der beliebte UC Browser und UC Browser Mini Apps für Android sind anfällig Spoofing-Angriffe zu adressieren. Der aktuelle Status des von Sicherheitsforscher Arif Khan entdeckte Sicherheitsanfälligkeit ist ungepatchte, und es ist kein CVE zugewiesen haben noch.
Mehr über den UC Browser Vulnerability
Khan entdeckt „eine URL Adressleisten-Spoofing-Schwachstelle in der aktuellen Version des UC Browser 12.11.2.1184 und UC Browser Mini 12.10.1.1192 haben über die 500 Mio. und 100 Mio. installiert die jeweils, wie pro Plays".
Weiter, der Fehler ermöglicht es Angreifern, ihre Phishing-Domains wie die Website Maskerade sie zielen. Was bedeutet das? Die blogspot.com Domain kann so tun, als facebook.com zu sein, Khan erklärt, durch den Benutzer austricksen zu besuchen www.google.com.blogspot.com/?q = www.facebook.com.
Genauer, die Verwundbarkeit ergibt sich aus der Art und Weise mit einem bestimmten die Benutzeroberfläche der beiden Browser befasst integrierte Funktion, die für Benutzer gedacht war Google-Sucherfahrung zu verbessern. Die Sicherheitslücke kann ein Angreifer über URL-Zeichenfolgen in der Adressleiste angezeigt nehmen. Dies könnte als legitim zu einer bösartigen Website posiert führen, wie oben beschrieben, im Beispiel mit Google und Blogspot.
Es ist wichtig zu erwähnen, dass die Forscher stießen auf das gleiche Problem in dem Mi und Mint Browser, die auf Xiaomi Smartphones vorinstalliert sind:
Vorher, Ich schrieb über dieses Problem zu beeinflussen Xiaomi Mi und Mint-Browser, aber jetzt UC Browser (nur aktuelle Versionen) teilen das gleiche Verhalten zu meiner großen Überraschung.
Der Forscher erwähnt auch, dass einige alte und andere Versionen von UC Browser sind noch nicht anfällig für dieses Problem, eine Tatsache, die eher verwirrend. Vielleicht bedeutet es, dass eine neue Funktion in den Browser hinzugefügt worden sein konnte vor kurzem, die die Verwundbarkeit verursacht.
Was hat Khan tun? Er berichtete, seine Erkenntnisse an das Sicherheitsteam von UC Browser mehr als vor einer Woche, aber das Problem bleibt ungelöst. Es scheint, dass sein Bericht einfach ignoriert wurde.
Andere beliebte Browser wie Kanten- und Safari wurden ebenfalls enthalten Adresse Spoofing Fehler gefunden. Letztes Jahr, Pakistanisch-basierte Sicherheitsforscher Rafay Baloch berichtet, dass sowohl Microsoft Edge und Safari eine Adressleiste Spoofing-Sicherheitsanfälligkeit possesed. Die Aussage gemacht wurde, nachdem er den Browser mit Proof-of-Concept-JavaScript-Code getestet.
Die Tests zeigten, dass bei einer Anforderung von einem nicht vorhandenen Anschluss einer Race-Bedingung in dem Speichervorgang ausgelöst werden könnte, die bösartige Code erlaubte die Adresse fälscht. Dieses spezifische Problem wurde in dem CVE-2018-8383 Beratungs verfolgt.