UC Browser to popularna multiplatformowa przeglądarka internetowa rozwijana przez chińskiego internetowego kolosa Alibaba – tego samego, który jest właścicielem popularnego w Polsce Aliexpress. UC Browser jest popularna przede wszystkim na rynku chińskim, ale korzystają z niej także użytkownicy w Europie. Niestety, nie mamy dla nich dobrych wieści.
UC Browser z ponad 600 mln użytkowników to na smartfonach ścisła czołówka najpopularniejszych przeglądarek. Według danych NetMarketShare jej udziały w globalnym rynku wynoszą 1,91%, co jednak plasuje ją na 4. miejscu w rankingu. Przed nią są tylko Chrome, Safari oraz inny chiński program, Baidu. Znacznie dalej plasują się Opera czy Firefox, działa tu więc efekt skali, jaką zapewnia chiński rynek. Działa on jednak także wtedy, gdy w tak popularnych programach odnajdywana jest podatność lub gdy one same stanowią podatność.
Eksperci z Doctor Web zauważyli, że popularna chińska przeglądarka aktualizuje się w sposób niezgodny z regulaminem Google Play. Ten stanowi, że aktualizacje mogą być pobierane wyłącznie za pośrednictwem oficjalnego sklepu z oprogramowaniem Androida. W ostatnim czasie pisaliśmy o – nie bójmy się tego słowa – zamordystycznych praktykach Google w kwestii dystrybucji aplikacji, niemniej zgodność źródła i aplikacji ma w tym przypadku solidne uzasadnienie. Chodzi o zapobieganie atakom typu man in the middle.
Zobacz też: Modlishka: polskie narzędzie phishingowe omija weryfikację dwustopniową
Twórcy UC Browser zignorowali ten wymóg i zdecydowali, że ich przeglądarka będzie się aktualizować poza Play. Zamiast tego łączy się z serwerem command and control i to z niego pobierać może wykonywalne pliki, nowe biblioteki i paczki z aktualizacjami. Nic jednak nie stoi na przeszkodzie, by w ten sposób pobierała cokolwiek innego. Niemniej, nawet jeśli założymy, że grupa Alibaba nie serwuje w ten sposób swoim użytkownikom adware czy oprogramowania śledzącego, to i tak naraża ich na szwank.
UC Browser łączy się bowiem z chińskimi serwerami przez niezaszyfrowany protokół HTTP, co może zostać wykorzystane w scenariuszu man in the middle. Do jego przeprowadzania konieczne jest wstrzyknięcie własnego przekierowania w wiadomości wysyłane pomiędzy smartfonem a producentem przeglądarki. Tyle wystarczy, by atakujący zastąpili serwer Alibaby własnym i przesłali na smartfony użytkowników przeglądarki, a przypominam, że jest ich ponad pół miliarda, dowolne pliki binarne.
Zobacz też: Huawei jak NSA i casus ASUS – gdy bloatware staje się podatnością
UC Browser w żaden sposób nie sprawdza zgodności czy poprawności pobranych plików, wykonuje wszystko, co dostarczone zostanie przez HTTP. Grupa Doctor Web poinformowała zarówno Google, jak i Alibabę o odnalezieniu podatności, choć pod względem technicznym w tym przypadku to sama przeglądarka stanowi malware. Nie jest to pierwszy związany z nią incydent. UC Browser już wcześniej było oskarżane o „dzwonienie do domu”, a w listopadzie 2017 roku zniknęło z Google Play za sprawą naruszenia regulaminu stosowania reklam.