首页 > 安全研究 > 安全通报 > 安全通告

UC浏览器中间人攻击(MITM)漏洞安全通告

发布时间 2019-03-28

漏洞编号和级别


CVE编号:暂无,危险级别:高危, CVSS分值:官方未评定


影响范围


受影响版本: 

目前UC浏览器移动手机版以及桌面版均受影响。


漏洞概述


自2016年以来,UC浏览器中出现了一个潜在危险的更新功能。尽管该应用程序还没有看到分发木马或不需要的软件,但它加载和启动新的和未经验证的模块的功能构成了潜在的威胁。


UC浏览器的易受攻击的功能可用于执行中间人攻击(MITM)。为了下载新插件,浏览器向命令和控制服务器发送请求,并接收响应文件的链接。

 


由于程序通过不安全的通道(HTTP协议而不是加密的HTTPS)与服务器通信,因此网络犯罪分子可以hook来自应用程序的请求。他们可以用包含不同地址的命令替换命令。这使得浏览器从恶意服务器而不是自己的命令和控制服务器下载新模块。由于UC浏览器使用未签名的插件,它将启动恶意模块而无需任何验证。


因此,MITM攻击可以帮助网络犯罪分子使用UC浏览器传播执行各种操作的恶意插件。例如,他们可以显示网络钓鱼邮件以窃取用户名,密码,银行卡详细信息和其他个人数据。此外,木马模块将能够访问受保护的浏览器文件并窃取存储在程序目录中的密码。


鉴于UC浏览器在全球范围内的装机量,该漏洞所带来的威胁不容小觑。除了UC浏览器之外,Google Play还上架了一款“UC 浏览器 Mini版”,显示安装次数已经超过1亿。在UC 浏览器 Mini版本中,同样存在绕过Google Play下载未经测试插件的行为,这表明同样存在中间人攻击的风险。不过,下述漏洞利用所展示的中间人攻击方式并不适用于Mini版本的UC浏览器。
 
 


漏洞利用


下面为验证案例。显示了通过UC浏览器下载PDF文档并尝试查看的潜在受害者。

要打开文件,浏览器会尝试从命令和控制服务器下载相应的插件。但是,由于MITM替换,浏览器会下载并启动不同的库。然后,该库会创建一条文本消息,上面写着“PWNED!”。


下载PDF文档。
  


打开PDF。



利用中间人攻击替换下载的相应的插件,改为会创建一个写着pwned文档的文本消息的插件。

 


修复建议


截止本文发布前,UC浏览器官方还未修复此问题,建议用户暂时尽量避免使用UC浏览器,并在官方发布更新后,尽快升级进行修复。


参考链接


https://news.drweb.com/show/?lng=en&i=13176
https://thehackernews.com/2019/03/uc-browser-android-hacking.html

上一篇 下一篇