Le navigateur populaire UC et UC Browser Mini Apps pour Android sont vulnérables aux attaques de spoofing répondre. L'état actuel de la vulnérabilité découverte par le chercheur de sécurité Arif Khan est non corrigée, et il n'a pas de CVE attribué encore.
En savoir plus sur la vulnérabilité du navigateur UC
Khan a découvert «une adresse URL vulnérabilité de l'usurpation d'identité Bar dans la dernière version du navigateur UC 12.11.2.1184 et UC Browser Mini 12.10.1.1192 qui ont plus de 500 M et 100mn installe chacun respectivement, selon Playstore".
En outre, la faille permet à des attaquants de se faire passer leurs domaines de phishing que le site Web qu'ils ciblent. Qu'est-ce que cela signifie? Le domaine blogspot.com peut prétendre être facebook.com, Khan a expliqué, en incitant l'utilisateur à visiter www.google.com.blogspot.com/?q = www.facebook.com.
Plus précisement, la vulnérabilité découle de la façon dont l'interface utilisateur des deux navigateurs traite d'un dispositif intégré spécifique qui a été conçu pour améliorer Google expérience de recherche pour les utilisateurs. La faille de sécurité pourrait permettre à un attaquant de prendre en charge les chaînes d'URL affichées dans la barre d'adresse. Cela pourrait conduire à un site Web malveillant posing comme légitime, comme décrit dans l'exemple avec Google et BlogSpot ci-dessus.
Il est important de mentionner que le chercheur est tombé sur le même problème dans les navigateurs Mi et Menthe qui sont pré-installés sur les smartphones Xiaomi:
Précédemment, J'ai écrit au sujet de cette question touchant Xiaomi Mi et navigateurs Mint, mais maintenant UC Browsers (seulement les dernières versions) partager le même comportement à ma grande surprise.
Le chercheur mentionne également que certains anciens et d'autres versions de communications unifiées Les navigateurs sont toujours pas vulnérables à cette question, ce qui est assez déroutant. Peut-être cela signifie qu'une nouvelle fonctionnalité a été ajoutée au navigateur récemment, ce qui est à l'origine de la vulnérabilité.
Qu'est-ce que Khan faire? Il a rapporté ses conclusions à l'équipe de sécurité de l'UC Browser il y a plus d'une semaine, mais la question reste en suspens. Il semble que son rapport a été tout simplement ignoré.
D'autres navigateurs populaires tels que Edge et Safari ont également été trouvés contenir des défauts d'usurpation d'adresse. L'année dernière, sécurité basée pakistanais chercheur Rafay Baloch a rapporté que les deux Microsoft Edge et Safari Possesed une barre d'adresse de l'usurpation d'identité vulnérabilité. La déclaration a été faite après avoir testé les navigateurs avec une preuve de concept du code JavaScript.
Les essais ont montré que sur une demande d'un port non existant une condition de course pourrait être déclenchée dans le processus de mémoire qui a permis code malveillant d'usurper l'adresse. Cette question spécifique a été suivi dans l'avis CVE-2018-8383.