不安全的UC浏览器“功能”让黑客远程劫持Android手机

为什么？因为中国制造的UC浏览器包含一种“可疑”功能，远程攻击者可以利用该功能在Android设备上自动下载和执行代码。

UC浏览器由阿里巴巴旗下的UCWeb开发，是最受欢迎的移动浏览器之一，尤其是在中国和印度，在全球拥有超过5亿用户的庞大用户群。
根据Dr.Web公司今天发布的一份新报告，至少自2016年以来，安卓UC浏览器具有“隐藏”功能，允许该公司随时从其服务器下载新的库和模块，并将其安装到用户的移动设备上。

使用MiTM攻击推送恶意UC浏览器插件

什么让人担心？事实证明，报告的功能通过不安全的HTTP协议而不是加密的HTTPS协议从公司服务器下载新插件，从而允许远程攻击者执行中间人（MiTM）攻击，并将恶意模块推送到目标设备。
研究人员说：“由于UC浏览器与未签名的插件一起工作，它将在没有任何验证的情况下启动恶意模块”。

“因此，要执行MITM攻击，网络罪犯只需将服务器响应从https://puds.ucweb.com/upgrade/index.xhtml?dataver=pb，替换指向可下载插件的链接以及要验证的属性值，即存档的MD5、其大小和插件大小。因此，浏览器将访问恶意服务器，下载并启动特洛伊木马模块"。
在Dr.Web分享的一段PoC视频中，研究人员展示了他们如何使用MiTM攻击将查看PDF文档的插件替换为恶意代码，迫使UC浏览器编译新的文本消息，而不是打开文件。

研究人员解释说：“因此，MITM攻击可以帮助网络罪犯使用UC浏览器传播执行多种操作的恶意插件”。

“例如，他们可以显示钓鱼消息来窃取用户名、密码、银行卡详细信息和其他个人数据。此外，特洛伊木马模块还可以访问受保护的浏览器文件并窃取存储在程序目录中的密码。”

UC浏览器违反谷歌Play商店政策

由于该功能允许UCWeb在用户设备上下载和执行任意代码，而无需重新安装全新版本的UC浏览器应用程序，因此绕过谷歌服务器也违反了Play Store策略。

 

研究人员说：“这违反了谷歌在其应用商店中发布软件的规定。目前的政策规定，从谷歌Play下载的应用程序不能更改自己的代码或从第三方来源下载任何软件组件”。

“这些规则用于防止模块化特洛伊木马的传播，这些木马下载并启动恶意插件”。

在UC浏览器和UC浏览器迷你版中都发现了这一危险功能，所有版本都受到影响，包括迄今为止发布的最新版本的浏览器。

Web博士负责地向UC Browser和UC Browser Mini的开发者报告了他们的发现，但他们甚至拒绝就此事发表评论。然后它向谷歌报告了这个问题。

研究人员说，在撰写本文时，UC浏览器和UC浏览器迷你版“仍然可用，可以绕过Google Play服务器下载新组件”。

这种功能在供应链攻击场景中可能会被滥用，在这种情况下，公司的服务器会受到破坏，从而允许攻击者一次向大量用户推送恶意更新，就像我们最近在华硕的供应链攻击中看到的，该攻击危害了超过100万台计算机。

所以，用户只有一个选择，在公司解决问题之前，将其处理掉。

更新：UCWeb的一名发言人向《黑客新闻》提供了一份声明，称“根据Dr Web提出的担忧，UC已在Google Play上更新了UC浏览器应用程序。UC是一家国际公司，并坚持其承诺，将开发一款帮助数百万用户获取移动互联网好处的产品”。