UC浏览器应用程序中未修补的漏洞可能会让黑客发起钓鱼攻击

UC浏览器和UC浏览器迷你版Android应用。

UC浏览器由阿里巴巴旗下的UCWeb开发，是最受欢迎的移动浏览器之一，尤其是在中国和印度，在全球拥有超过5亿用户的庞大用户群。

根据安全研究人员阿里夫·汗（Arif Khan）与《黑客新闻》（Hacker News）分享的详细信息，该漏洞存在于两种浏览器的用户界面处理一个特殊内置功能的方式中，该功能原本是为了改善用户的谷歌搜索体验而设计的。
该漏洞尚未分配任何CVE标识符，攻击者可利用该漏洞控制地址栏中显示的URL字符串，最终使恶意网站冒充某个合法网站。

该漏洞影响最新的UC浏览器版本12.11.2.1184和UC浏览器迷你版12.10.1.1192，根据Google Play Store的数据，目前分别有超过5亿和1亿用户在使用它。

尽管该漏洞与Khan上个月在小米智能手机和Mint浏览器预装的小米浏览器中发现的漏洞类似，但使用UC浏览器中新发现的漏洞提供的网络钓鱼页面仍然留下了一些警惕用户可以发现的指标。

当用户使用UC浏览器在“google.com”上搜索某个内容时，浏览器会自动从地址栏中删除该域，并重新编写它，仅向用户显示搜索查询字符串。
Arif发现UC浏览器使用的模式匹配逻辑不足，攻击者可以通过在自己的域上创建子域（如“www.google.com.phishing site.com？q=www.facebook.com”）来滥用，从而诱使浏览器认为给定的站点是“www.google.com”，搜索查询是“www.facebook.com”

URL地址栏欺骗漏洞可用于轻松欺骗UC浏览器用户，使其在实际使用网络钓鱼页面时认为自己访问的是受信任的网站，如视频演示所示。

“他们的正则表达式规则只匹配URL字符串，或者任何用户试图访问白名单模式的URL，但仅检查URL是否以www.google.com之类的字符串开头，这一事实可以让攻击者通过在其域上使用子域（如www.google.com.blogspot.com）并附加目标域名，绕过正则表达式检查（他想冒充）到这个子域的查询部分，比如？q=www.facebook。阿里夫在一篇博客文章中解释道。

与小米浏览器漏洞不同，UC浏览器漏洞不允许攻击者欺骗SSL指示符，这是用户交叉检查以确定网站是假的还是合法的一个基本而重要的因素。
《黑客新闻》已经独立验证了该漏洞，并可以确认它在撰写本文时可用的两种网络浏览器的最新版本上都有效。

有什么有趣的？研究人员还提到，UC Browser和UC Browser Mini的一些旧版本和其他版本不受此URL地址栏欺骗漏洞的影响，这表明“以前某个时候可能向此浏览器添加了导致此问题的新功能”。

一周多前，Khan负责地向UC浏览器安全团队报告了该漏洞，但该公司尚未解决该问题，只是在他的报告中添加了忽略状态。

就在一个多月前，研究人员在其Android应用程序中发现了一个“隐藏”功能，攻击者可能利用该功能远程下载和执行Android手机上的恶意代码并劫持它们，UC Browser成为新闻。