Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86 | Telegram

Профиль

Назад к списку новостей

Cотни миллионов пользователей UC Browser для Android находятся под угрозой

26 марта 2019 года

Вирусные аналитики компании «Доктор Веб» обнаружили в популярном мобильном браузере UC Browser скрытую возможность загрузки и запуска непроверенного кода. Приложение способно скачивать вспомогательные программные модули в обход серверов Google Play. Это нарушает правила корпорации Google и представляет серьезную угрозу, поскольку таким образом на Android-устройства может быть загружен любой код, в том числе вредоносный.

На данный момент число загрузок UC Browser из Google Play превысило 500 000 000. Всем установившим эту программу угрожает потенциальная опасность. Специалисты компании «Доктор Веб» обнаружили в ней скрытую возможность загрузки вспомогательных компонентов из Интернета. Браузер принимает от управляющего сервера команды для скачивания новых библиотек и модулей — они добавляют в программу новые функции и могут использоваться для ее обновления.

#drweb

Например, при анализе UC Browser загрузил с удаленного сервера исполняемую Linux-библиотеку, которая не является вредоносной и предназначена для работы с документами офисного пакета MS Office, а также файлами формата PDF. Изначально эта библиотека отсутствует в составе браузера. После скачивания программа сохранила ее в свой рабочий каталог и запустила на исполнение. Таким образом, фактически приложение получает и выполняет код в обход серверов Google Play. Это нарушает правила корпорации Google для программ, распространяемых через ее каталог ПО. Согласно действующей политике скачанные из Google Play приложения не могут изменять собственный код, а также загружать какие-либо программные компоненты из сторонних источников. Данные правила появились для борьбы с модульными троянцами, которые скачивают и запускают вредоносные плагины. Яркие примеры таких троянцев — Android.RemoteCode.127.origin и Android.RemoteCode.152.origin, о них наша компания сообщала в январе и апреле 2018 года.

Потенциально опасная функция обновления присутствует в UC Browser как минимум с 2016 года. Несмотря на то, что приложение не было замечено в распространении троянских или нежелательных программ, его способность загружать и запускать новые и непроверенные модули представляет потенциальную угрозу. Нет гарантии, что злоумышленники не получат доступ к серверам разработчика браузера и не используют встроенную в него функцию обновления для заражения сотен миллионов Android-устройств.

Уязвимая функция UC Browser может использоваться для выполнения атак типа «человек посередине» — MITM (Man in the Middle). Для загрузки новых плагинов браузер делает запрос к управляющему серверу и получает от него ссылку на файл. Поскольку программа общается с сервером по незащищенному каналу (протоколу HTTP вместо шифрованного HTTPS), злоумышленники способны перехватывать сетевые запросы приложения. Атакующие могут подменять поступающие команды, указывая в них адрес вредоносного ресурса. В результате программа скачает новые модули с него, а не с настоящего управляющего сервера. Т. к. UC Browser работает с неподписанными плагинами, он запустит вредоносные модули без какой-либо проверки.

Ниже приведен пример такой атаки, смоделированной нашими вирусными аналитиками. На видео показано, как потенциальная жертва скачивает через UC Browser и пытается просмотреть в нем pdf-документ. Для открытия файла браузер пытается скачать с управляющего сервера соответствующий плагин, однако из-за подмены адреса сервера «человеком посередине» UC Browser загружает и запускает другую библиотеку. Эта библиотека создает СМС-сообщение с текстом «PWNED!».

Таким образом, с использованием MITM-атаки злоумышленники могут распространять через UC Browser вредоносные плагины, способные выполнять самые разнообразные действия. Например, показывать фишинговые сообщения для похищения логинов, паролей, информации о банковских картах и других персональных данных. Кроме того, троянские модули смогут получить доступ к защищенным файлам браузера и украсть сохраненные в нем пароли от веб-сайтов, которые находятся в рабочем каталоге программы.

Подробнее об этой уязвимости можно прочитать по ссылке.

Возможность загрузки непроверенных компонентов в обход серверов Google Play есть и у «младшего брата» браузера — приложения UC Browser Mini. Эта функция появилась в нем не позднее декабря 2017 года. К настоящему времени программу загрузили свыше 100 000 000 пользователей Google Play, все они также находятся под угрозой. Однако, в отличие от UC Browser, в UC Browser Mini описанная выше MITM-атака не сработает.

#drweb

После обнаружения опасной функции в UC Browser и UC Browser Mini специалисты «Доктор Веб» связались с их разработчиком, однако тот отказался от комментариев. Вслед за этим вирусные аналитики сообщили о находке в компанию Google, но на момент выхода этой публикации оба браузера все еще были доступны для загрузки и по-прежнему могли скачивать новые компоненты в обход серверов Google Play. Владельцы Android-устройств должны самостоятельно решить, продолжить ли использовать эти программы или удалить их и подождать выхода их обновления с исправлением потенциальной уязвимости.

Компания «Доктор Веб» продолжает следить за развитием ситуации.

Ваш Android нуждается в защите
Используйте Dr.Web

Скачать бесплатно

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Более 71% дохода компании — продажи бизнес-клиентам

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А