Android用の人気のあるUCBrowserおよびUCBrowserMini Appsは、なりすまし攻撃に対処するのに脆弱です。. セキュリティ研究者のアリフ・カーンによって発見された脆弱性の現在の状況はパッチが適用されていません, まだCVEが割り当てられていません.
UCブラウザの脆弱性の詳細
カーンは「最新バージョンのUCブラウザにおけるURLアドレスバーのなりすましの脆弱性 12.11.2.1184 およびUCBrowserMini 12.10.1.1192 それぞれ5億以上と1億以上のインストールがあります, Playstoreによる」.
さらに, この欠陥により、攻撃者はフィッシングドメインを標的とするWebサイトになりすますことができます。. これは何を意味するのでしょうか? blogspot.comドメインは、facebook.comのふりをすることができます, カーンは説明した, ユーザーをだまして訪問させる www.google.com.blogspot.com/?q = www.facebook.com.
すなわち, この脆弱性は、両方のブラウザのユーザーインターフェースが、ユーザーのGoogle検索エクスペリエンスを向上させることを目的とした特定の組み込み機能を処理する方法に起因します。. セキュリティ上の欠陥により、攻撃者がアドレスバーに表示されているURL文字列を乗っ取る可能性があります. これにより、悪意のあるWebサイトが正当なWebサイトになりすます可能性があります, 上記のGoogleとBlogSpotの例で説明されているように.
言及することが重要です 研究者が出くわした XiaomiスマートフォンにプリインストールされているMiおよびMintブラウザでも同じ問題が発生します:
以前, XiaomiMiおよびMintブラウザに影響するこの問題について書きました, しかし今はUCブラウザ (最新バージョンのみ) 驚いたことに同じ行動を共有する.
研究者はまた、UCブラウザのいくつかの古いバージョンと他のバージョンはまだこの問題に対して脆弱ではないと述べています, かなり紛らわしい事実. おそらくそれは、脆弱性を引き起こしている新しい機能が最近ブラウザに追加された可能性があることを意味します.
カーンは何をしましたか? 彼は1週間以上前にUCBrowserのセキュリティチームに調査結果を報告しましたが、問題は未解決のままです。. 彼の報告は単に無視されたようです.
EdgeやSafariなどの他の人気のあるブラウザにも、アドレススプーフィングの欠陥が含まれていることが判明しました. 去年, パキスタンを拠点とするセキュリティ研究者のRafayBalochは、MicrosoftEdgeとSafariの両方がアドレスバーのなりすましの脆弱性を持っていると報告しました. この声明は、彼が概念実証JavaScriptコードを使用してブラウザーをテストした後に作成されました。.
テストでは、存在しないポートからの要求に応じて、メモリプロセスで競合状態がトリガーされ、悪意のあるコードがアドレスをスプーフィングする可能性があることが示されました。. この特定の問題は、CVE-2018-8383アドバイザリで追跡されました.