Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

Articoli

Icona delle News




A rischio centinaia di milioni di utenti di UC Browser per Android

Gli analisti Doctor Web hanno rilevato nel popolare browser mobile UC Browser...

09/04/19 gatti News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Gli analisti Doctor Web hanno rilevato nel popolare browser mobile UC Browser una possibilità nascosta che permette di scaricare ed eseguire codice non testato. L'applicazione è in grado di scaricare moduli software ausiliari bypassando i server Google Play. Questo viola le regole di Google e rappresenta un serio pericolo in quanto in questo modo sui dispositivi Android può essere scaricato qualsiasi codice, incluso quello malevolo.

Al momento, il numero di download di UC Browser da Google Play ha superato 500.000.000. Esiste un potenziale pericolo per tutti quelli che hanno installato questo programma. I ricercatori di Doctor Web hanno rilevato in esso una possibilità nascosta di download di componenti ausiliari da Internet. Il browser accetta dal server di gestione i comandi di download di nuove librerie e moduli che aggiungono nuove funzionalità al programma e possono essere utilizzati per aggiornarlo.

Per esempio, durante l'analisi, UC Browser ha scaricato dal server remoto una libreria eseguibile Linux la quale non è malevola ed è progettata per la gestione di documenti del pacchetto per ufficio MS Office, nonché di file PDF. Inizialmente questa libreria non è presente nel browser. Dopo il download, il programma l'ha salvata nella sua directory di lavoro e l'ha lanciata in esecuzione. Così, in effetti l'applicazione riceve ed esegue codice bypassando i server Google Play. Questo viola le regole della società Google destinate ai programmi che vengono distribuiti attraverso il suo catalogo software. Secondo la policy in vigore, le applicazioni scaricate da Google Play non possono modificare il proprio codice, né scaricare qualche componente software da fonti di terze parti. Queste regole sono comparse per contrastare i trojan a moduli che scaricano e lanciano plugin malevoli. Esempi lampanti di simili trojan sono Android.RemoteCode.127.origin e Android.RemoteCode.152.origin, di cui la nostra azienda parlava a gennaio ed aprile 2018.

La funzionalità di aggiornamento potenzialmente pericolosa è presente in UC Browser almeno dal 2016. Nonostante che non ci fossero casi noti in cui l'applicazione distribuiva programmi trojan o indesiderati, la sua capacità di scaricare e avviare moduli nuovi e non testati rappresenta una potenziale minaccia. Non è garantito che gli hacker non potranno avere accesso ai server dello sviluppatore del browser e non utilizzeranno la funzionalità di aggiornamento incorporata per infettare centinaia di milioni di dispositivi Android.

La funzionalità vulnerabile di UC Browser può essere utilizzata per eseguire il tipo di attacco "uomo nel mezzo" — MITM (Man in the Middle). Per scaricare nuovi plugin, il browser effettua una richiesta al server di gestione e riceve da esso un link a un file. In quanto il programma comunica con il server su un canale non protetto (protocollo HTTP invece di quello crittografato HTTPS), i malintenzionati possono intercettare le richieste di rete dell'applicazione. Gli intrusi possono sostituire i comandi in arrivo indicando in essi l'indirizzo di una risorsa malevola. Di conseguenza, il programma scaricherà nuovi moduli da essa e non dal suo vero server di gestione. In quanto UC Browser utilizza plugin non firmati, lancerà moduli malevoli senza alcuna verifica.

Di seguito è riportato un esempio di tale attacco simulato dai nostri analisti di virus. Il video mostra come una potenziale vittima scarica un documento pdf attraverso UC Browser e tenta di visualizzarlo. Per aprire il file, il browser cerca di scaricare il plugin corrispondente dal server di gestione, tuttavia, a causa della sostituzione dell'indirizzo del server tramite "man-in-the-middle", UC Browser scarica e lancia un'altra libreria. Questa libreria crea un messaggio SMS con il testo "PWNED!".

Banner

Così, usando gli attacchi MITM, i malintenzionati possono distribuire attraverso UC Browser plugin malevoli che sono capaci di eseguire un'ampia varietà di azioni. Per esempio, mostrare messaggi di phishing per rubare login, password, informazioni sulle carte bancarie e altri dati personali. Inoltre, i moduli trojan potranno avere accesso ai file protetti del browser e rubare le password di siti web in esso memorizzate che si trovano nella directory di lavoro del programma.

Ulteriori informazioni su questa vulnerabilità sono disponibili sul link.

La possibilità di scaricare componenti non testati bypassando i server Google Play esiste anche nel "fratello minore" del browser — l'app UC Browser Mini. Questa funzionalità è comparsa in esso non più tardi di dicembre 2017. Ad oggi, il programma è stato scaricato da oltre 100.000.000 di utenti di Google Play, tutti loro anche sono a rischio. Tuttavia, a differenza di UC Browser, l'attacco MITM sopra descritto non funziona in UC Browser Mini.

Dopo il rilevamento della funzionalità pericolosa in UC Browser e UC Browser Mini, gli specialisti Doctor Web hanno contattato il loro sviluppatore il quale però non ha fornito alcun commento. In seguito, gli analisti di virus hanno informato l'azienda Google sulla scoperta, ma al momento di uscita di questa pubblicazione, entrambi i browser erano ancora disponibili per il download e potevano ancora scaricare nuovi componenti bypassando i server Google Play. I proprietari di dispositivi Android dovrebbero decidere autonomamente se continuare a utilizzare questi programmi o rimuoverli e attendere il rilascio di un aggiornamento con la correzione della potenziale vulnerabilità.

L'azienda Doctor Web continua a seguire gli sviluppi della situazione.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Video Premium su DrWeb

Corsi Premium - Dr.Web
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft