Il Browser UC popolare e UC Browser Mini Apps per Android sono vulnerabili ad affrontare attacchi di spoofing. Lo stato attuale della vulnerabilità scoperta da ricercatore di sicurezza Arif Khan è senza patch, e non hanno un CVE ancora assegnato.
Ulteriori informazioni sulla vulnerabilità del browser UC
Khan scoprì “una vulnerabilità allo spoofing della barra Indirizzo URL nella versione più recente del browser UC 12.11.2.1184 e UC Browser Mini 12.10.1.1192 che hanno oltre 500mn 100mn e installa ogni rispettivamente, come da PlayStore".
Inoltre, la falla consente agli aggressori di mascherare i loro domini di phishing come il sito web cui si rivolgono. Che cosa significa questo? Il dominio blogspot.com può fingere di essere facebook.com, Khan ha spiegato, ingannando l'utente a visitare www.google.com.blogspot.com/?q = www.facebook.com.
Più specificamente, la vulnerabilità deriva dal modo in cui l'interfaccia utente di entrambi i browser si occupa di una specifica funzione integrata che doveva migliorare Google esperienza di ricerca per gli utenti. La falla di sicurezza potrebbe consentire a un utente malintenzionato di prendere in consegna le stringhe URL visualizzato nella barra degli indirizzi. Questo potrebbe portare a un sito web malevolo in posa come una legittima, come descritto nell'esempio con Google e BlogSpot sopra.
E 'importante ricordare che il ricercatore si è imbattuto lo stesso problema nei browser Mi e menta, che sono pre-installate su smartphone Xiaomi:
Precedentemente, Ho scritto su questo problema che colpisce Xiaomi Mi e browser Mint, ma ora UC Browser (solo le versioni più recenti) condividere lo stesso comportamento con mia grande sorpresa.
Il ricercatore menziona anche che alcune vecchie e altre versioni di UC browser non sono ancora vulnerabili a questo problema, un fatto che è piuttosto confusa. Forse vuol dire che una nuova funzionalità potrebbe essere stata aggiunta al browser di recente, che sta causando la vulnerabilità.
Che cosa ha fatto fare Khan? Egli ha riferito le sue conclusioni al team di sicurezza di UC Browser più di una settimana fa, ma il problema rimane irrisolto. Sembra che la sua relazione è stata semplicemente ignorata.
Altri browser popolari come Edge e Safari sono stati trovati anche per contenere difetti indirizzo spoofing. L'anno scorso, Pakistano-based ricercatore di sicurezza Rafay Baloch ha riferito che sia Microsoft Edge e Safari possesed una vulnerabilità allo spoofing della barra indirizzo. La dichiarazione è stata fatta dopo aver testato i browser con proof-of-concept codice JavaScript.
Le verifiche hanno dimostrato che su richiesta di una porta inesistente una condizione di competizione potrebbe essere innescato nel processo di memoria che ha permesso di codice dannoso falsificare l'indirizzo. Questo problema specifico è stato rintracciato nella consulenza CVE-2018-8383.