In einem Blogeintrag nebst Video haben Analysten der Anti-Viren-Softwarefirma Doctor Web von der Android-Version des Webbrowsers UC Browser ausgehende potenzielle Sicherheitsrisiken dokumentiert. Der über den Google Play Store verfügbare Browser der Alibaba-Tochterfirma UCWeb Inc erfreut sich mit mehr als 500 Millionen Downloads offenbar großer Beliebtheit. Laut Doctor Web kann der Browser ausführbaren Code nicht nur von den Google-Play-Servern, sondern auch direkt von den Servern von UCWeb Inc nachladen. Gleiches gelte auch für die "Mini"-Version des Browsers. Die Funktion, die dem Hinzufügen von Aktualisierungen und benötigten Hilfskomponenten dient, verstoße gegen Google Plays Policy, welche das Nachladen ausführbaren Codes ausdrücklich nur von den Google-Play-Servern erlaubt. Sie könne überdies ein Sicherheitsrisiko für Nutzer darstellen. Nämlich dann, wenn Kriminelle – wie unlängst etwa bei ASUS geschehen – die Server der Entwickler kapern und mittels Supply-Chain-Angriff schädlichen Code an sämtliche UC-Browser-Nutzer verteilen würden. MITM-Attacken ohne weiteres möglich Man könnte nun dagegen halten, dass Googles eigene Server ebenso gut zum Ziel von Angreifern werden könnten. Die Analysten fanden darüber hinaus aber auch heraus, dass die Kommunikation des UC Browsers mit den Servern von UCWeb Inc nicht etwa via HTTPS/TLS, sondern unverschlüsselt via HTTP stattfindet. Eine detaillierte Betrachtung der Vorgänge im UC Browser im Anschluss an einen Dateidownload zeigte zudem, dass keinerlei Überprüfung der digitalen Signatur des heruntergeladenen Codes vor dessen Ausführung stattfindet. Überprüft würden zwar einige Dateiattribute wie MD5-Hash oder Dateigröße; diese Checks seien aber leicht auszutricksen. Auf Basis ihrer Erkenntnisse und mittels Manipulation der überprüften Attributwerte waren die Analysten in der Lage, einen Man-in-the-Middle-Angriff auf den UC Browser auszuführen, den sie in einem Video dokumentiert haben. In dem fiktiven Szenario will ein Nutzer ein zuvor über den Browser heruntergeladenes PDF öffnen. Der Browser kontaktiert den Command-and-Control-Server der UC-Browser-Entwickler, um dafür ein Hilfsmodul herunterzuladen. an dieser Stelle klinken sich jedoch die Doctor-Web-MItarbeiter in den unverschlüsselten Traffic ein und liefern einen präparierten Download-Link zurück. Keine aktiven Angriffe beobachtet Zwar wurden bislang keine Angriffe "in freier Wildbahn" auf den UC Browser (Mini) nach dem gezeigten Schema bekannt; dennoch sollten sich Nutzer des Browsers der möglichen Gefahr bewusst sein. Doctor Web gibt an, die Schwachstelle in UC Browser-Versionen ab 11.1.5.890 aufwärts und UC Browser Mini ab Version 11.0.2 aufwärts gefunden zu haben. Ob die seit 21. März im Playstore verfügbare Version 12.10.5.1171 von UC Browser beziehungsweise die seit 18. März verfügbare Version 12.9.7.1179 der Mini-Variante abgesichert sind, ist unklar. Laut Doctor Web wollten sich die Entwickler nicht zu dem Thema äußern; auch Google habe auf eine entsprechende Anfrage seitens des AV-Herstellers bislang nicht reagiert. (ovw) Zur Startseite UC Browser für Android anfällig für Man-in-the-Middle-Angriffe
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
In einem Blogeintrag nebst Video haben Analysten der Anti-Viren-Softwarefirma Doctor Web von der Android-Version des Webbrowsers UC Browser ausgehende potenzielle Sicherheitsrisiken dokumentiert. Der über den Google Play Store verfügbare Browser der Alibaba-Tochterfirma UCWeb Inc erfreut sich mit mehr als 500 Millionen Downloads offenbar großer Beliebtheit. Laut Doctor Web kann der Browser ausführbaren Code nicht nur von den Google-Play-Servern, sondern auch direkt von den Servern von UCWeb Inc nachladen. Gleiches gelte auch für die "Mini"-Version des Browsers. Die Funktion, die dem Hinzufügen von Aktualisierungen und benötigten Hilfskomponenten dient, verstoße gegen Google Plays Policy, welche das Nachladen ausführbaren Codes ausdrücklich nur von den Google-Play-Servern erlaubt. Sie könne überdies ein Sicherheitsrisiko für Nutzer darstellen. Nämlich dann, wenn Kriminelle – wie unlängst etwa bei ASUS geschehen – die Server der Entwickler kapern und mittels Supply-Chain-Angriff schädlichen Code an sämtliche UC-Browser-Nutzer verteilen würden. MITM-Attacken ohne weiteres möglich Man könnte nun dagegen halten, dass Googles eigene Server ebenso gut zum Ziel von Angreifern werden könnten. Die Analysten fanden darüber hinaus aber auch heraus, dass die Kommunikation des UC Browsers mit den Servern von UCWeb Inc nicht etwa via HTTPS/TLS, sondern unverschlüsselt via HTTP stattfindet. Eine detaillierte Betrachtung der Vorgänge im UC Browser im Anschluss an einen Dateidownload zeigte zudem, dass keinerlei Überprüfung der digitalen Signatur des heruntergeladenen Codes vor dessen Ausführung stattfindet. Überprüft würden zwar einige Dateiattribute wie MD5-Hash oder Dateigröße; diese Checks seien aber leicht auszutricksen. Auf Basis ihrer Erkenntnisse und mittels Manipulation der überprüften Attributwerte waren die Analysten in der Lage, einen Man-in-the-Middle-Angriff auf den UC Browser auszuführen, den sie in einem Video dokumentiert haben. In dem fiktiven Szenario will ein Nutzer ein zuvor über den Browser heruntergeladenes PDF öffnen. Der Browser kontaktiert den Command-and-Control-Server der UC-Browser-Entwickler, um dafür ein Hilfsmodul herunterzuladen. an dieser Stelle klinken sich jedoch die Doctor-Web-MItarbeiter in den unverschlüsselten Traffic ein und liefern einen präparierten Download-Link zurück. Keine aktiven Angriffe beobachtet Zwar wurden bislang keine Angriffe "in freier Wildbahn" auf den UC Browser (Mini) nach dem gezeigten Schema bekannt; dennoch sollten sich Nutzer des Browsers der möglichen Gefahr bewusst sein. Doctor Web gibt an, die Schwachstelle in UC Browser-Versionen ab 11.1.5.890 aufwärts und UC Browser Mini ab Version 11.0.2 aufwärts gefunden zu haben. Ob die seit 21. März im Playstore verfügbare Version 12.10.5.1171 von UC Browser beziehungsweise die seit 18. März verfügbare Version 12.9.7.1179 der Mini-Variante abgesichert sind, ist unklar. Laut Doctor Web wollten sich die Entwickler nicht zu dem Thema äußern; auch Google habe auf eine entsprechende Anfrage seitens des AV-Herstellers bislang nicht reagiert. (ovw) Zur Startseite - Zugriffe: 198