一個漏洞獵人發現並公開披露了一個未修補的瀏覽器地址欄欺騙漏洞的細節,該漏洞影響了流行的中文UC瀏覽器和UC瀏覽器Mini版應用程序。
UC瀏覽器由阿里巴巴旗下的UCWeb開發,在中國和印度是最受歡迎的移動瀏覽器之一。自從 Symbian 時代開始,UC瀏覽器就已經成為移動端用戶量最大的瀏覽器之一,此後逐漸發展之Android、iOS及Windows平臺。目前在Google Play上UC瀏覽器安裝量超過5億,而在國內安卓應用市場下載量也超過12億。
根據安全研究員Arif Khan分享的詳細信息,該漏洞存在於兩個瀏覽器上的用戶界面處理特殊內置功能的方式上,該功能旨在改善用戶的Google搜索體驗。
該漏洞尚未分配任何CVE編號,允許攻擊者控制地址欄中顯示的URL字符串,最終使惡意網站成為某個合法站點。
根據Google Play商店的說法,該漏洞會影響UC瀏覽器的最新版本12.11.2.1184和UC Browser Mini版本12.10.1.1192——目前用戶量分別被超過5億和1億。
雖然這個漏洞類似於Khan上個月在小米智能手機和Mint瀏覽器上預裝的MI瀏覽器中發現的漏洞,但利用UC瀏覽器、新發現的漏洞的網絡釣魚頁面仍然留有一些用戶可以發現的警示。
當用戶使用UC瀏覽器在“google.com”上搜索某些內容時,瀏覽器會自動從地址欄中刪除該域並重寫該域以向用戶顯示搜索查詢字符串。
Arif發現UC瀏覽器使用的模式匹配邏輯不足,攻擊者可以通過在自己的域上創建子域來濫用它們,如www.google.com.phishing-site.com?q=www.facebook.com可以誘騙瀏覽器認為給定的網站是“www.google.com”,搜索查詢的是“www.facebook.com”。
URL地址欄欺騙漏洞可用於輕鬆欺騙UC瀏覽器用戶認為他們實際在訪問的網絡釣魚頁面是受信任的網站。
“UC瀏覽器的正則表達式規則只匹配URL字符串,任何用戶嘗試訪問白名單模式時只檢查URL是否以www.google.com等字符串開頭的URL可以使攻擊者繞過此正則表達式,通過在域名上使用子域名(例如www.google.com.blogspot.com)進行檢查,並將目標域名附加到此子域的查詢部分,如?q = www.facebook.com,”Arif在一篇博文中解釋道。
與小米瀏覽器漏洞不同,UC瀏覽器漏洞不允許攻擊者欺騙SSL指標,這是用戶交叉檢查以確定網站真假的最重要的因素。
研究人員還表示,舊版本和其他版本的UC瀏覽器和UC瀏覽器Mini不會受到此URL地址欄欺騙漏洞的影響,這表明該漏洞是由於開發人員為了向瀏覽器添加“新功能”而導致的。
Khan向UC瀏覽器安全團隊報告了此漏洞,但該團隊將其報告調整為忽視狀態。
漏洞披露報告被忽略
3月下旬,UC瀏覽器被曝中間人攻擊漏洞,允許遠程攻擊者將惡意模塊推送到目標設備,全球多達十幾億設備受到影響。研究人員後來發現桌面端UC瀏覽器可能同樣容易遭受中間人攻擊,導致攻擊者可以在用戶電腦上下載惡意拓展。
本文作者:Gump,轉載自:http://www.mottoin.com/detail/3953.html
相關推薦
