Os populares UC Browser e UC Browser Mini Apps para Android são vulneráveis a ataques de spoofing. O status atual da vulnerabilidade descoberta pelo pesquisador de segurança Arif Khan não foi corrigido, e ainda não tem um CVE atribuído.
Mais sobre a vulnerabilidade do navegador UC
Khan descobriu “uma vulnerabilidade de falsificação da barra de endereços de URL na versão mais recente do UC Browser 12.11.2.1184 e UC Browser Mini 12.10.1.1192 que têm mais de 500mn e 100mn instalações cada, respectivamente, conforme Playstore”.
além disso, a falha permite que os invasores mascarem seus domínios de phishing como o site que eles estão visando. O que isto significa? O domínio blogspot.com pode fingir ser facebook.com, Khan explicou, enganando o usuário para visitar www.google.com.blogspot.com/?q = www.facebook.com.
Mais especificamente, a vulnerabilidade decorre da maneira como a interface do usuário de ambos os navegadores lida com um recurso integrado específico que foi criado para melhorar a experiência de pesquisa do Google para os usuários. A falha de segurança pode permitir que um invasor assuma as strings de URL exibidas na barra de endereço. Isso pode levar a um site malicioso fingindo ser legítimo, conforme descrito no exemplo com Google e BlogSpot acima.
É importante mencionar que o pesquisador encontrou o mesmo problema nos navegadores Mi e Mint que estão pré-instalados nos smartphones Xiaomi:
Anteriormente, Escrevi sobre esse problema que afeta os navegadores Xiaomi Mi e Mint, mas agora navegadores UC (apenas as últimas versões) compartilham o mesmo comportamento para minha surpresa.
O pesquisador também menciona que algumas versões antigas e outras de navegadores UC ainda não são vulneráveis a esse problema, um fato que é bastante confuso. Talvez isso signifique que um novo recurso pode ter sido adicionado ao navegador recentemente, o que está causando a vulnerabilidade.
O que Khan fez? Ele relatou suas descobertas para a equipe de segurança do UC Browser há mais de uma semana, mas o problema continua sem solução. Parece que seu relatório foi simplesmente ignorado.
Outros navegadores populares, como Edge e Safari também continham falhas de falsificação de endereço. Ano passado, O pesquisador de segurança do Paquistão Rafay Baloch relatou que o Microsoft Edge e o Safari possuem uma vulnerabilidade de falsificação da barra de endereços. A declaração foi feita depois que ele testou os navegadores com código JavaScript de prova de conceito.
Os testes indicaram que, após uma solicitação de uma porta inexistente, uma condição de corrida pode ser acionada no processo de memória que permitiu que um código malicioso falsificasse o endereço. Esse problema específico foi rastreado no comunicado CVE-2018-8383.