26 marzo 2019

Gli analisti Doctor Web hanno rilevato nel popolare browser mobile UC Browser una possibilità nascosta che permette di scaricare ed eseguire codice non testato. L'applicazione è in grado di scaricare moduli software ausiliari bypassando i server Google Play. Questo viola le regole della società Google e rappresenta un serio pericolo in quanto in questo modo sui dispositivi Android può essere scaricato qualsiasi codice, incluso quello malevolo.

Al momento, il numero di download di UC Browser da Google Play ha superato 500.000.000. Esiste un potenziale pericolo per tutti quelli che hanno installato questo programma. Gli specialisti Doctor Web hanno rilevato in esso una possibilità nascosta di download di componenti ausiliari da Internet. Il browser accetta dal server di gestione i comandi di download di nuove librerie e moduli che aggiungono nuove funzionalità al programma e possono essere utilizzati per aggiornarlo.

Per esempio, durante l'analisi, UC Browser ha scaricato dal server remoto una libreria eseguibile Linux la quale non è malevola ed è progettata per la gestione di documenti del pacchetto per ufficio MS Office, nonché di file PDF. Inizialmente questa libreria non è presente nel browser. Dopo il download, il programma l'ha salvata nella sua directory di lavoro e l'ha lanciata in esecuzione. Così, in effetti l'applicazione riceve ed esegue codice bypassando i server Google Play. Questo viola le regole della società Google destinate ai programmi che vengono distribuiti attraverso il suo catalogo software. Secondo la policy in vigore, le applicazioni scaricate da Google Play non possono modificare il proprio codice, né scaricare qualche componente software da fonti di terze parti. Queste regole sono comparse per contrastare i trojan a moduli che scaricano e lanciano plugin malevoli. Esempi lampanti di simili trojan sono Android.RemoteCode.127.origin e Android.RemoteCode.152.origin, di cui la nostra azienda parlava a gennaio ed aprile 2018.

La funzionalità di aggiornamento potenzialmente pericolosa è presente in UC Browser almeno dal 2016. Nonostante che non ci fossero casi noti in cui l'applicazione distribuiva programmi trojan o indesiderati, la sua capacità di scaricare e avviare moduli nuovi e non testati rappresenta una potenziale minaccia. Non è garantito che gli hacker non potranno avere accesso ai server dello sviluppatore del browser e non utilizzeranno la funzionalità di aggiornamento incorporata per infettare centinaia di milioni di dispositivi Android.

La funzionalità vulnerabile di UC Browser può essere utilizzata per eseguire il tipo di attacco "uomo nel mezzo" — MITM (Man in the Middle). Per scaricare nuovi plugin, il browser effettua una richiesta al server di gestione e riceve da esso un link a un file. In quanto il programma comunica con il server su un canale non protetto (protocollo HTTP invece di quello crittografato HTTPS), i malintenzionati possono intercettare le richieste di rete dell'applicazione. Gli intrusi possono sostituire i comandi in arrivo indicando in essi l'indirizzo di una risorsa malevola. Di conseguenza, il programma scaricherà nuovi moduli da essa e non dal suo vero server di gestione. In quanto UC Browser utilizza plugin non firmati, lancerà moduli malevoli senza alcuna verifica.

Di seguito è riportato un esempio di tale attacco simulato dai nostri analisti di virus. Il video mostra come una potenziale vittima scarica un documento pdf attraverso UC Browser e tenta di visualizzarlo. Per aprire il file, il browser cerca di scaricare il plugin corrispondente dal server di gestione, tuttavia, a causa della sostituzione dell'indirizzo del server tramite "man-in-the-middle", UC Browser scarica e lancia un'altra libreria. Questa libreria crea un messaggio SMS con il testo "PWNED!".

Così, usando gli attacchi MITM, i malintenzionati possono distribuire attraverso UC Browser plugin malevoli che sono capaci di eseguire un'ampia varietà di azioni. Per esempio, mostrare messaggi di phishing per rubare login, password, informazioni sulle carte bancarie e altri dati personali. Inoltre, i moduli trojan potranno avere accesso ai file protetti del browser e rubare le password di siti web in esso memorizzate che si trovano nella directory di lavoro del programma.

Ulteriori informazioni su questa vulnerabilità sono disponibili sul link.

La possibilità di scaricare componenti non testati bypassando i server Google Play esiste anche nel "fratello minore" del browser — l'app UC Browser Mini. Questa funzionalità è comparsa in esso non più tardi di dicembre 2017. Ad oggi, il programma è stato scaricato da oltre 100.000.000 di utenti di Google Play, tutti loro anche sono a rischio. Tuttavia, a differenza di UC Browser, l'attacco MITM sopra descritto non funziona in UC Browser Mini.

Dopo il rilevamento della funzionalità pericolosa in UC Browser e UC Browser Mini, gli specialisti Doctor Web hanno contattato il loro sviluppatore il quale però non ha fornito alcun commento. In seguito, gli analisti di virus hanno informato l'azienda Google sulla scoperta, ma al momento di uscita di questa pubblicazione, entrambi i browser erano ancora disponibili per il download e potevano ancora scaricare nuovi componenti bypassando i server Google Play. I proprietari di dispositivi Android dovrebbero decidere autonomamente se continuare a utilizzare questi programmi o rimuoverli e attendere il rilascio di un aggiornamento con la correzione della potenziale vulnerabilità.

L'azienda Doctor Web continua a seguire gli sviluppi della situazione.