Um bug bounty hunter descobriu e divulgou publicamente detalhes de uma vulnerabilidade de falsificação de barra de endereços do navegador sem patch que afeta o popular navegador UC chinês e os aplicativos UC Browser Mini para Android.
Desenvolvido pela UCWeb, de propriedade da Alibaba, o UC Browser é um dos navegadores móveis mais populares, especificamente na China e na Índia, com uma enorme base de usuários de mais de meio bilhão de usuários em todo o mundo.
De acordo com os detalhes que o pesquisador de segurança Arif Khan compartilhou com o The Hacker News, a vulnerabilidade reside na forma como a Interface do usuário em ambos os navegadores lida com um recurso interno especial que foi projetado para melhorar a experiência de pesquisa do Google.
A vulnerabilidade, que ainda não atribuiu nenhum identificador CVE, pode permitir que um invasor controle a sequência de URL exibida na barra de endereço, permitindo que um site malicioso seja posicionado como um site legítimo.
A vulnerabilidade afeta o último UC Browser versão 12.11.2.1184 e o UC Browser Mini versão 12.10.1.1192 - que atualmente está sendo usado por mais de 500 milhões e 100 milhões de usuários respectivamente, de acordo com a Google Play Store.
Embora a falha seja semelhante à que Khan descobriu no mês passado no navegador MI pré-instalado nos smartphones Xiaomi e no navegador Mint, as páginas de phishing exibidas usando a vulnerabilidade recém-descoberta no UC Browser ainda deixam alguns indicadores que os usuários atentos podem detectar.
Quando os usuários pesquisam algo em "google.com.br" usando os navegadores da UC, os navegadores automaticamente removem o domínio da barra de endereço e o reescrevem apenas para exibir a string da consulta de pesquisa para o usuário
A Arif descobriu que a lógica de correspondência de padrões usada pelos navegadores da UC é insuficiente e pode ser abusada por invasores simplesmente criando subdomínios em seu próprio domínio, como "www.google.com.br/phishing-site.com?q=www.facebook.com, "enganar os navegadores a pensar que o site fornecido é" www.google.com "e a consulta de pesquisa é" www.facebook.com ".
A vulnerabilidade de falsificação da Barra de Endereços do URL pode ser usada para enganar facilmente os usuários do UC Browser que pensam estar visitando um site confiável quando realmente estão sendo veiculados com uma página de phishing, como mostrado na demonstração em vídeo.
"O fato de suas regras de regex corresponderem à string de URL ou do URL que qualquer usuário está tentando acessar um padrão de lista de desbloqueio, mas verificar apenas se o URL começa com uma string como www.google.com.br pode permitir que um invasor ignore essa regex verifique simplesmente usando um subdomínio em seu domínio como www.google.com.blogspot.com e anexe o nome de domínio de destino (que ele deseja colocar como) à parte de consulta desse subdomínio como? q = www.facebook.com, "Arif explica em um post no blog .
Ao contrário da falha dos navegadores Xiaomi , a vulnerabilidade dos navegadores da UC não permite que um invasor falsifique o indicador SSL, que é um fator básico e importante que os usuários fazem a verificação cruzada para determinar se um site é falso ou legítimo.
O Hacker News verificou a vulnerabilidade de forma independente e pode confirmar se ela funciona nas versões mais recentes de ambos os navegadores disponíveis no momento da publicação.
O que é interessante? O pesquisador também mencionou que algumas versões antigas e outras do UC Browser e do UC Browser Mini não são afetadas por essa vulnerabilidade de falsificação da Barra de Endereços, o que sugere que um "novo recurso pode ter sido adicionado a este navegador que está causando esse problema. "
Khan relatou a vulnerabilidade para a equipe de segurança do UC Browser há mais de uma semana, mas a empresa ainda não resolveu o problema e simplesmente colocou um status Ignore em seu relatório.
O UC Browser apareceu no noticiário há pouco mais de um mês, quando pesquisadores descobriram um recurso "oculto" em seu aplicativo Android, que poderia ter sido explorado por invasores para fazer download e executar códigos maliciosos remotamente em telefones Android e seqüestrá-los.
