UC浏览器再现漏洞,可让黑客发动网络钓鱼攻击
一个漏洞猎人发现并公开披露了一个未修补的浏览器地址栏欺骗漏洞的细节,该漏洞影响了流行的中文UC浏览器和UC浏览器Mini版应用程序。
UC浏览器由阿里巴巴旗下的UCWeb开发,在中国和印度是最受欢迎的移动浏览器之一。自从 Symbian 时代开始,UC浏览器就已经成为移动端用户量最大的浏览器之一,此后逐渐发展之Android、iOS及Windows平台。目前在Google Play上UC浏览器安装量超过5亿,而在国内安卓应用市场下载量也超过12亿。
根据安全研究员Arif Khan分享的详细信息,该漏洞存在于两个浏览器上的用户界面处理特殊内置功能的方式上,该功能旨在改善用户的Google搜索体验。
该漏洞尚未分配任何CVE编号,允许攻击者控制地址栏中显示的URL字符串,最终使恶意网站成为某个合法站点。
根据Google Play商店的说法,该漏洞会影响UC浏览器的最新版本12.11.2.1184和UC Browser Mini版本12.10.1.1192——目前用户量分别被超过5亿和1亿。
虽然这个漏洞类似于Khan上个月在小米智能手机和Mint浏览器上预装的MI浏览器中发现的漏洞,但利用UC浏览器、新发现的漏洞的网络钓鱼页面仍然留有一些用户可以发现的警示。
当用户使用UC浏览器在“google.com”上搜索某些内容时,浏览器会自动从地址栏中删除该域并重写该域以向用户显示搜索查询字符串。
Arif发现UC浏览器使用的模式匹配逻辑不足,攻击者可以通过在自己的域上创建子域来滥用它们,如www.google.com.phishing-site.com?q=www.facebook.com可以诱骗浏览器认为给定的网站是“www.google.com”,搜索查询的是“www.facebook.com”。
URL地址栏欺骗漏洞可用于轻松欺骗UC浏览器用户认为他们实际在访问的网络钓鱼页面是受信任的网站。
“UC浏览器的正则表达式规则只匹配URL字符串,任何用户尝试访问白名单模式时只检查URL是否以www.google.com等字符串开头的URL可以使攻击者绕过此正则表达式,通过在域名上使用子域名(例如www.google.com.blogspot.com)进行检查,并将目标域名附加到此子域的查询部分,如?q = www.facebook.com,”Arif在一篇博文中解释道。
与小米浏览器漏洞不同,UC浏览器漏洞不允许攻击者欺骗SSL指标,这是用户交叉检查以确定网站真假的最重要的因素。
研究人员还表示,旧版本和其他版本的UC浏览器和UC浏览器Mini不会受到此URL地址栏欺骗漏洞的影响,这表明该漏洞是由于开发人员为了向浏览器添加“新功能”而导致的。
Khan向UC浏览器安全团队报告了此漏洞,但该团队将其报告调整为忽视状态。
漏洞披露报告被忽略
3月下旬,UC浏览器被曝中间人攻击漏洞,允许远程攻击者将恶意模块推送到目标设备,全球多达十几亿设备受到影响。研究人员后来发现桌面端UC浏览器可能同样容易遭受中间人攻击,导致攻击者可以在用户电脑上下载恶意拓展。