De populaire UC Browser en UC Browser Mini Apps voor Android zijn kwetsbaar voor spoofing aanvallen te pakken. De huidige status van de kwetsbaarheid door security-onderzoeker Arif Khan ontdekt is ongepatchte, en het niet hebben van een CVE nog toegewezen.
Meer over de UC Browser Vulnerability
Khan ontdekt “een URL Address Bar spoofing in de nieuwste versie van de UC Browser 12.11.2.1184 en UC Browser Mini 12.10.1.1192 die moeten dan 500mn en 100mn installeert elk voor, volgens PlayStore".
Bovendien, de fout maakt aanvallers om hun phishing-domeinen zich voordoen als de website waarop ze gericht. Wat betekent dit? De blogspot.com domein kan doen alsof ze facebook.com, Khan verklaard, door tricking de gebruiker om te bezoeken www.google.com.blogspot.com/?q = www.facebook.com.
Specifieker, de kwetsbaarheid komt voort uit de manier waarop de bediening van beide browsers zich bezighoudt met een specifiek ingebouwde functie die bedoeld was om het verbeteren van Google zoekervaring voor gebruikers. Het lek kan een aanvaller over te URL-tekenreeksen wordt weergegeven in de adresbalk te nemen. Dit zou kunnen leiden tot een kwaadaardige website die zich voordeed als een legitiem, zoals beschreven in het voorbeeld met Google en BlogSpot boven.
Het is belangrijk te vermelden dat de onderzoeker kwam hetzelfde probleem in de Mi en Mint browsers die zijn voorgeïnstalleerd op Xiaomi smartphones:
Eerder, Ik schreef over dit probleem invloed Xiaomi Mi en Mint browsers, maar nu UC Browsers (Alleen nieuwste versies) delen hetzelfde gedrag tot mijn verbazing.
De onderzoeker vermeldt ook dat een aantal oude en andere versies van UC Browsers nog steeds niet kwetsbaar voor dit probleem, hetgeen nogal verwarrend. Misschien betekent dit dat een nieuwe functie zou kunnen zijn toegevoegd aan de browser onlangs die de oorzaak is van de kwetsbaarheid.
Wat deed Khan doen? Hij meldde zijn bevindingen aan het security team van UC Browser meer dan een week geleden, maar de kwestie blijft onopgelost. Het lijkt erop dat zijn verslag was gewoon genegeerd.
Andere populaire browsers zoals Edge en Safari werden ook gevonden naar het adres spoofing fouten bevatten. Vorig jaar, Pakistaans-based security-onderzoeker Rafay Baloch gemeld dat zowel Microsoft Edge en Safari possesed een adresbalk spoofing. De verklaring werd afgelegd nadat hij de browsers met een proof-of-concept JavaScript-code getest.
De tests gaven aan dat op verzoek van een niet-bestaande poort een race condition kan worden geactiveerd in het geheugen proces waardoor kwaadaardige code naar het adres spoofen. Deze specifieke kwestie werd bijgehouden in de CVE-2018-8383 adviserende.