Casa > cibernético Notícias > Vulnerabilidade de falsificação da barra de endereços de URL no navegador UC não corrigida
CYBER NEWS

Vulnerabilidade de falsificação da barra de endereços de URL no navegador de UC não corrigida

Os populares UC Browser e UC Browser Mini Apps para Android são vulneráveis ​​a ataques de spoofing. O status atual da vulnerabilidade descoberta pelo pesquisador de segurança Arif Khan não foi corrigido, e ainda não tem um CVE atribuído.




Mais sobre a vulnerabilidade do navegador UC

Khan descobriu “uma vulnerabilidade de falsificação da barra de endereços de URL na versão mais recente do UC Browser 12.11.2.1184 e UC Browser Mini 12.10.1.1192 que têm mais de 500mn e 100mn instalações cada, respectivamente, conforme Playstore”.

além disso, a falha permite que os invasores mascarem seus domínios de phishing como o site que eles estão visando. O que isto significa? O domínio blogspot.com pode fingir ser facebook.com, Khan explicou, enganando o usuário para visitar www.google.com.blogspot.com/?q = www.facebook.com.

Mais especificamente, a vulnerabilidade decorre da maneira como a interface do usuário de ambos os navegadores lida com um recurso integrado específico que foi criado para melhorar a experiência de pesquisa do Google para os usuários. A falha de segurança pode permitir que um invasor assuma as strings de URL exibidas na barra de endereço. Isso pode levar a um site malicioso fingindo ser legítimo, conforme descrito no exemplo com Google e BlogSpot acima.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/uc-browser-adware-removal/”] É UC Browser um Adware?.

É importante mencionar que o pesquisador encontrou o mesmo problema nos navegadores Mi e Mint que estão pré-instalados nos smartphones Xiaomi:

Anteriormente, Escrevi sobre esse problema que afeta os navegadores Xiaomi Mi e Mint, mas agora navegadores UC (apenas as últimas versões) compartilham o mesmo comportamento para minha surpresa.

O pesquisador também menciona que algumas versões antigas e outras de navegadores UC ainda não são vulneráveis ​​a esse problema, um fato que é bastante confuso. Talvez isso signifique que um novo recurso pode ter sido adicionado ao navegador recentemente, o que está causando a vulnerabilidade.

O que Khan fez? Ele relatou suas descobertas para a equipe de segurança do UC Browser há mais de uma semana, mas o problema continua sem solução. Parece que seu relatório foi simplesmente ignorado.

Outros navegadores populares, como Edge e Safari também continham falhas de falsificação de endereço. Ano passado, O pesquisador de segurança do Paquistão Rafay Baloch relatou que o Microsoft Edge e o Safari possuem uma vulnerabilidade de falsificação da barra de endereços. A declaração foi feita depois que ele testou os navegadores com código JavaScript de prova de conceito.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-8383-microsoft-edge-safari-exploited-via-address-bar-spoofing-vulnerability/”] CVE-2018-8383: Microsoft Edge e Safari Exploradas via Endereço Vulnerabilidade Bar Spoofing.

Os testes indicaram que, após uma solicitação de uma porta inexistente, uma condição de corrida pode ser acionada no processo de memória que permitiu que um código malicioso falsificasse o endereço. Esse problema específico foi rastreado no comunicado CVE-2018-8383.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo