Последние версии браузеров UC Browser и UC Browser Mini для Android-устройств, насчитывающие более 600 млн загрузок, уязвимы к URL-спуфингу. Уязвимость была обнаружена исследователем безопасности Арифом Ханом (Arif Khan), который уведомил о ней разработчика UCWeb в прошлом месяце.
URL-спуфинг представляет собой кибератаку, основывающуюся на возможности атакующего менять URL в адресной строке браузера. Жертва видит знакомый адрес и думает, будто посещает доверенный сайт, хотя на самом деле оказывается на вредоносной странице. Эти страницы могут быть фишинговыми и предназначаться для похищения учетных данных, либо содержать вредоносную рекламу, инфицирующую устройство вредоносным ПО.
«Спуфинг URL представляет собой самую худшую из возможных фишинговых атак, поскольку адрес в адресной строке – это единственный способ идентифицировать посещаемый пользователем сайт», – отметил Хан.
Уязвимость в UC Browser и UC Browser Mini позволяет злоумышленникам выдавать один домен за другой. К примеру, blogspot.com можно выдать за facebook.com, просто заставив пользователя зайти на www[.]google[.]com[.]blogspot.com[/?q=]www.facebook.com.
Как пояснил исследователь, атака возможна из-за недостаточной проверки браузерами регулярных выражений. «Они пытаются улучшить пользовательский UX, поэтому, когда пользователь ищет что-то в поисковой системе наподобие Google, в адресной строке отображается только поисковый запрос», – отметил Хан. По его словам, браузеры только проверяют, начинается ли посещаемый пользователем URL-адрес с www[.]google[.]com. В результате атакующий может обойти проверку регулярных выражений и подменить адрес в адресной строке.
С целью обезопасить пользователей разработчики UC Browser и UC Browser Mini должны отказаться от подобного «улучшения» пользовательского UX и отображать настоящий домен, считает исследователь.
Уязвимость была обнаружена в версиях UC Browser 12.11.2.1184 и UC Browser Mini 12.10.1.1192 (в более старых версиях уязвимость отсутствует). Хан уведомил разработчика о проблеме 30 апреля, однако по состоянию на 8 мая она по-прежнему остается неисправленной. Более того, когда исследователь внес свой отчет об уязвимости в систему UCWeb, ему был присвоен статус «Ignored».