Become a partner   | Request Support  | Contact Sales

Diventa Autore per CoreTech | Scopri di più





A rischio centinaia di milioni di utenti di UC Browser per Android

09/04/19 gatti News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Gli analisti Doctor Web hanno rilevato nel popolare browser mobile UC Browser una possibilità nascosta che permette di scaricare ed eseguire codice non testato. L'applicazione è in grado di scaricare moduli software ausiliari bypassando i server Google Play. Questo viola le regole di Google e rappresenta un serio pericolo in quanto in questo modo sui dispositivi Android può essere scaricato qualsiasi codice, incluso quello malevolo.

Al momento, il numero di download di UC Browser da Google Play ha superato 500.000.000. Esiste un potenziale pericolo per tutti quelli che hanno installato questo programma. I ricercatori di Doctor Web hanno rilevato in esso una possibilità nascosta di download di componenti ausiliari da Internet. Il browser accetta dal server di gestione i comandi di download di nuove librerie e moduli che aggiungono nuove funzionalità al programma e possono essere utilizzati per aggiornarlo.

Per esempio, durante l'analisi, UC Browser ha scaricato dal server remoto una libreria eseguibile Linux la quale non è malevola ed è progettata per la gestione di documenti del pacchetto per ufficio MS Office, nonché di file PDF. Inizialmente questa libreria non è presente nel browser. Dopo il download, il programma l'ha salvata nella sua directory di lavoro e l'ha lanciata in esecuzione. Così, in effetti l'applicazione riceve ed esegue codice bypassando i server Google Play. Questo viola le regole della società Google destinate ai programmi che vengono distribuiti attraverso il suo catalogo software. Secondo la policy in vigore, le applicazioni scaricate da Google Play non possono modificare il proprio codice, né scaricare qualche componente software da fonti di terze parti. Queste regole sono comparse per contrastare i trojan a moduli che scaricano e lanciano plugin malevoli. Esempi lampanti di simili trojan sono Android.RemoteCode.127.origin e Android.RemoteCode.152.origin, di cui la nostra azienda parlava a gennaio ed aprile 2018.

La funzionalità di aggiornamento potenzialmente pericolosa è presente in UC Browser almeno dal 2016. Nonostante che non ci fossero casi noti in cui l'applicazione distribuiva programmi trojan o indesiderati, la sua capacità di scaricare e avviare moduli nuovi e non testati rappresenta una potenziale minaccia. Non è garantito che gli hacker non potranno avere accesso ai server dello sviluppatore del browser e non utilizzeranno la funzionalità di aggiornamento incorporata per infettare centinaia di milioni di dispositivi Android.

La funzionalità vulnerabile di UC Browser può essere utilizzata per eseguire il tipo di attacco "uomo nel mezzo" — MITM (Man in the Middle). Per scaricare nuovi plugin, il browser effettua una richiesta al server di gestione e riceve da esso un link a un file. In quanto il programma comunica con il server su un canale non protetto (protocollo HTTP invece di quello crittografato HTTPS), i malintenzionati possono intercettare le richieste di rete dell'applicazione. Gli intrusi possono sostituire i comandi in arrivo indicando in essi l'indirizzo di una risorsa malevola. Di conseguenza, il programma scaricherà nuovi moduli da essa e non dal suo vero server di gestione. In quanto UC Browser utilizza plugin non firmati, lancerà moduli malevoli senza alcuna verifica.

Di seguito è riportato un esempio di tale attacco simulato dai nostri analisti di virus. Il video mostra come una potenziale vittima scarica un documento pdf attraverso UC Browser e tenta di visualizzarlo. Per aprire il file, il browser cerca di scaricare il plugin corrispondente dal server di gestione, tuttavia, a causa della sostituzione dell'indirizzo del server tramite "man-in-the-middle", UC Browser scarica e lancia un'altra libreria. Questa libreria crea un messaggio SMS con il testo "PWNED!".

Così, usando gli attacchi MITM, i malintenzionati possono distribuire attraverso UC Browser plugin malevoli che sono capaci di eseguire un'ampia varietà di azioni. Per esempio, mostrare messaggi di phishing per rubare login, password, informazioni sulle carte bancarie e altri dati personali. Inoltre, i moduli trojan potranno avere accesso ai file protetti del browser e rubare le password di siti web in esso memorizzate che si trovano nella directory di lavoro del programma.

Ulteriori informazioni su questa vulnerabilità sono disponibili sul link.

La possibilità di scaricare componenti non testati bypassando i server Google Play esiste anche nel "fratello minore" del browser — l'app UC Browser Mini. Questa funzionalità è comparsa in esso non più tardi di dicembre 2017. Ad oggi, il programma è stato scaricato da oltre 100.000.000 di utenti di Google Play, tutti loro anche sono a rischio. Tuttavia, a differenza di UC Browser, l'attacco MITM sopra descritto non funziona in UC Browser Mini.

Banner

Dopo il rilevamento della funzionalità pericolosa in UC Browser e UC Browser Mini, gli specialisti Doctor Web hanno contattato il loro sviluppatore il quale però non ha fornito alcun commento. In seguito, gli analisti di virus hanno informato l'azienda Google sulla scoperta, ma al momento di uscita di questa pubblicazione, entrambi i browser erano ancora disponibili per il download e potevano ancora scaricare nuovi componenti bypassando i server Google Play. I proprietari di dispositivi Android dovrebbero decidere autonomamente se continuare a utilizzare questi programmi o rimuoverli e attendere il rilascio di un aggiornamento con la correzione della potenziale vulnerabilità.

L'azienda Doctor Web continua a seguire gli sviluppi della situazione.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web