UC浏览器中间人攻击漏洞预警

谨防！如果您在智能手机上使用UC浏览器，则应考虑立即卸载它。

为什么？因为中国UC浏览器包含“有问题”的功能，远程攻击者可利用该功能在Android设备上自动下载和执行代码。

UC浏览器由阿里巴巴旗下的UCWeb开发，是最受欢迎的移动浏览器之一，特别是在中国和印度，拥有超过6亿用户的全球用户群。

根据Web公司今天发布的一份新报告，至少从2016年开始，UC浏览器Android具有“隐藏”功能，允许公司随时从其服务器下载新的库和模块并将其安装在用户的移动设备上。

然而，根据谷歌有关Google Play“ 隐私，安全和欺骗 ”的支持文档，通过Google Play发布的Android应用不得使用Google Play的更新机制以外的任何方法修改，替换或更新自己。同样，应用可能不会从Google Play以外的来源下载可执行代码（例如dex，JAR，.so文件）。

让用户暴露于MitM攻击

虽然UC浏览器和UC浏览器Mini尚未在其安装的设备上下载和安装恶意代码，但鉴于它可以从其服务器下载和安装额外的模块，这会使用户面临潜在的风险。

正如Doctor Web的研究团队在报告中解释的那样，“不能确定网络犯罪分子永远不会得到浏览器开发人员的服务器或使用更新功能来感染数以亿计的Android设备。”

UC浏览器中存在的这种非官方更新功能也可能被潜在攻击者用于执行中间人攻击（MitM）攻击，可能导致在受感染设备上远程执行代码，因为应用程序使用其服务器进行通信HTTP上的未加密通道。

“由于UC浏览器使用未签名的插件，它将启动恶意模块而无需任何验证，”研究人员说。

黑客能够成功在应用程序与其更新服务器之间发送的消息中注入自己的恶意内容，以引导UC浏览器应用程序从他们控制的服务器下载恶意模块。

“因此，为了执行MITM攻击，网络犯罪分子只需要hook从http://puds.ucweb.com/upgrade/index.xhtml?dataver=pb 的服务器响应，替换可下载插件的链接和要验证的属性值即：存档的MD5， 大小和插件大小。因此，浏览器将访问恶意服务器以下载并启动特洛伊木马模块。由于开发团队认为所有额外模块都是安全的，因为它们只能从公司的服务器下载，所以它不会检查下载安装的模块 。

Doctor Web的安全研究人员还创建了一个MiTM攻击演示视频，显示了潜在的受害者如何使用UC浏览器查看PDF文档，并且必须从应用程序的更新服务器下载插件模块。

研究人员拦截发送到更新服务器的消息，并用专门设计用于显示“PWNED！”的模块替换模块。 

[video mp4="http://paper.404sec.com/wp-content/uploads/2019/03/UC-Browser-MITM-demo.mp4"][/video]

“因此，MITM攻击可以帮助网络犯罪分子使用UC浏览器传播执行各种操作的恶意插件，”研究人员解释说。

“例如，他们可以显示网络钓鱼邮件以窃取用户名，密码，银行卡详细信息和其他个人数据。此外，木马模块将能够访问受保护的浏览器文件并窃取存储在程序目录中的密码。”

Doctor Web的研究人员还提到，UC浏览器迷你应用程序也具有相同的更新机制，可以绕过官方Play商店更新渠道下载额外的应用程序模块 。

桌面版UC浏览器也很脆弱

根据

在测试桌面版UC浏览器应用程序中提供的更新模块后自己的发现，它也容易受到MiTM攻击，这可能允许黑客在用户的计算机上下载恶意扩展。

用于桌面版UC浏览器还要求用户下载用于查看PDF文档的额外模块，并通过不安全的HTTP连接从应用程序自己的更新服务器下载它们作为Chrome扩展，如下面的屏幕截图所示。

研究小组联系了谷歌和UCWeb公司（也称为UC Mobile）， 披露了UC浏览器和UC浏览器迷你应用程序中发现的漏洞：