Defecto sin parche en las aplicaciones de navegador de UC

Un defecto sin parche en las aplicaciones de navegador de UC podría permitir a los hackers lanzar ataques de phishing

Un cazador de errores ha descubierto y revelado públicamente los detalles de una vulnerabilidad de suplantación barra de direcciones del navegador sin parches que afecta populares chinos navegador de la UC y el navegador de la UC Mini aplicaciones para Android.

Desarrollado por UCWeb, propiedad de Alibaba, UC Browser es uno de los navegadores móviles más populares, específicamente en China e India, con una base de usuarios masiva de más de 500 millones de usuarios en todo el mundo.

De acuerdo con los detalles que el investigador de seguridad Arif Khan compartió con The Hacker News, la vulnerabilidad reside en la forma en que la Interfaz del usuario en ambos navegadores maneja una característica especial incorporada que, de lo contrario, fue diseñada para mejorar la experiencia de búsqueda de Google de los usuarios.


La vulnerabilidad, que aún no ha asignado ningún identificador de CVE, podría permitir a un atacante controlar la cadena de URL que se muestra en la barra de direcciones, lo que eventualmente permitirá que un sitio web malicioso se convierta en un sitio legítimo.

La vulnerabilidad afecta a la última versión 12.11.2.1184 de UC Browser y la versión 12.10.1.1192 de UC Browser Mini, que actualmente utilizan más de 500 millones y 100 millones de usuarios respectivamente, según Google Play Store.

Aunque la falla es similar a la que Khan descubrió el mes pasado en el navegador MI que viene preinstalado en los teléfonos inteligentes Xiaomi y el navegador Mint, las páginas de phishing que se utilizan con la vulnerabilidad recientemente descubierta en el navegador UC aún dejan algunos indicadores que los usuarios vigilantes pueden detectar.

Cuando los usuarios buscan algo en "google.com" utilizando los navegadores de UC, los navegadores eliminan automáticamente el dominio de la barra de direcciones y lo reescriben solo para mostrar la cadena de consulta de búsqueda al usuario.




Arif descubrió que la lógica de coincidencia de patrones utilizada por los navegadores de UC es insuficiente y los atacantes pueden abusar de ella simplemente creando subdominios en su propio dominio, como "www.google.com.phishing-site.com?q=www.facebook.com, "engañando a los navegadores para que piensen que el sitio dado es" No tienes permitido ver los links. Registrarse o Entrar a mi cuenta "y la consulta de búsqueda es" No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ".

La vulnerabilidad de suplantación de la barra de direcciones de la URL se puede usar para engañar fácilmente a los usuarios del navegador de UC para que piensen que están visitando un sitio web de confianza cuando en realidad se les proporciona una página de phishing, como se muestra en la demostración en video.

"El hecho de que sus reglas de expresiones regulares solo coincidan con la cadena de URL, o la URL que cualquier usuario está tratando de visitar en un patrón de lista blanca, pero solo verifica si la URL comienza con una cadena como No tienes permitido ver los links. Registrarse o Entrar a mi cuenta puede permitir que un atacante omita este regex verifique simplemente usando un subdominio en su dominio como No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y adjunte el nombre de dominio de destino (que quiere representar) a la parte de consulta de este subdominio como? q = No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, "Arif explica en una entrada de blog .

A diferencia de la falla de los navegadores Xiaomi , la vulnerabilidad de los navegadores de UC no permite que un atacante falsifique el indicador SSL, que es un factor básico e importante que los usuarios verifican para determinar si un sitio es falso o legítimo.


The Hacker News ha verificado de forma independiente la vulnerabilidad y puede confirmar que funciona en las últimas versiones de ambos navegadores web disponibles en el momento de la escritura.

¿Qué es interesante? El investigador también mencionó que algunas versiones anteriores y otras de UC Browser y UC Browser Mini no se ven afectadas por esta vulnerabilidad de suplantación de la barra de direcciones de URL, lo que sugiere que podría haberse agregado una nueva característica a este navegador, lo que está causando este problema. "

Khan informó responsablemente la vulnerabilidad al equipo de seguridad de UC Browser hace más de una semana, pero la compañía aún no ha abordado el problema y simplemente puso un estado de Ignorar en su informe.

UC Browser apareció en las noticias hace poco más de un mes cuando los investigadores encontraron una función "oculta" en su aplicación de Android que podría haber sido explotada por atacantes para descargar y ejecutar de forma remota códigos maliciosos en teléfonos Android y secuestrarlos.





Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta