Un cazador de errores descubrió y reveló públicamente los detalles de una vulnerabilidad de suplantación de la barra de direcciones del navegador sin parches que afecta a los chinos populares. navegador de la UC y Mini navegador UC aplicaciones para Android.
Desarrollado por UCWeb, propiedad de Alibaba, UC Browser es uno de los navegadores móviles más populares, específicamente en China e India, con una base de usuarios masiva de más de quinientos millones de usuarios en todo el mundo.
Según el investigador de seguridad de detalles. arif khan compartida con The Hacker News, la vulnerabilidad reside en la forma en que la interfaz de usuario en ambos navegadores maneja una característica especial integrada que, de otro modo, fue diseñada para mejorar la experiencia de búsqueda de Google de los usuarios.
La vulnerabilidad, a la que aún no se le ha asignado ningún identificador CVE, podría permitir que un atacante controle la cadena de URL que se muestra en la barra de direcciones, lo que eventualmente permitiría que un sitio web malicioso se haga pasar por un sitio legítimo.
La vulnerabilidad afecta a la última versión 12.11.2.1184 de UC Browser y la versión 12.10.1.1192 de UC Browser Mini, que actualmente utilizan más de 500 millones y 100 millones de usuarios respectivamente, según Google Play Store.
Aunque la falla es similar a la que Khan descubrió el mes pasado en el navegador MI que viene preinstalado en los teléfonos inteligentes Xiaomi y el navegador Mint, las páginas de phishing que se publican utilizando la vulnerabilidad recién descubierta en UC Browser aún dejan algunos indicadores que los usuarios atentos pueden detectar.
Cuando los usuarios buscan algo en «google.com» utilizando navegadores UC, los navegadores eliminan automáticamente el dominio de la barra de direcciones y lo reescriben solo para mostrar la cadena de consulta de búsqueda al usuario.
Arif descubrió que la lógica de coincidencia de patrones utilizada por los navegadores UC es insuficiente y los atacantes pueden abusar de ella simplemente creando subdominios en su propio dominio, como «www.google.com.phishing-site.com?q=www.facebook.com, «engañar a los navegadores para que piensen que el sitio dado es» www.google.com «y la consulta de búsqueda es» www.facebook.com».
La vulnerabilidad de falsificación de la barra de direcciones URL se puede usar para engañar fácilmente a los usuarios de UC Browser para que piensen que están visitando un sitio web confiable cuando en realidad reciben una página de phishing, como se muestra en el video de demostración.
«El hecho de que sus reglas de expresiones regulares solo coincidan con la cadena de URL, o la URL que cualquier usuario está tratando de visitar en un patrón de lista blanca, pero solo verifica si la URL comienza con una cadena como www.google.com puede permitir que un atacante eluda esta expresión regular. compruébelo simplemente usando un subdominio en su dominio como www.google.com.blogspot.com y adjunte el nombre de dominio de destino (que quiere presentar como) a la parte de consulta de este subdominio como? q = www.facebook.com, «Arif explica en una publicación de blog.
A diferencia de la falla de los navegadores Xiaomi, la vulnerabilidad de los navegadores UC no permite que un atacante falsifique el indicador SSL, que es un factor básico e importante que los usuarios verifican para determinar si un sitio es falso o legítimo.
Hacker News ha verificado de forma independiente la vulnerabilidad y puede confirmar que funciona en las últimas versiones de ambos navegadores web disponibles en el momento de escribir este artículo.
¿Qué es interesante? El investigador también mencionó que algunas versiones antiguas y otras de UC Browser y UC Browser Mini no se ven afectadas por esta vulnerabilidad de falsificación de la barra de direcciones URL, lo que sugiere que «es posible que se haya agregado una nueva característica a este navegador en algún momento que está causando este problema». «
Khan informó responsablemente la vulnerabilidad al equipo de seguridad de UC Browser hace más de una semana, pero la compañía aún no ha abordado el problema y simplemente colocó un estado Ignorar en su informe.
UC Browser apareció en las noticias hace poco más de un mes cuando los investigadores encontraron una función «oculta» en su aplicación de Android que los atacantes podrían haber explotado para descargar y ejecutar de forma remota código malicioso en teléfonos Android y secuestrarlos.
