Schwachstelle im UC Browser für Android – deinstallieren empfohlen

Falls jemand den UC Browser unter Android installiert haben sollte, werft die App runter. Diese weist eine schwere Sicherheitslücke auf, über die Angreifer Bibliotheken in der App nachladen und Code auf dem Gerät ausführen können.


Anzeige

Den UC Browser gibt es laut Wikipedia bereits seit August 2004, wobei dieser für verschiedene Plattformen bereit steht. Das Besondere: Der Internetbrowser verwendet Cloud-Beschleunigung und Datenkompressionstechnologien. Die Server des Entwicklers funktionieren als Proxys, welche die Daten vor dem Senden komprimieren. Dies führt dazu, dass Webinhalte schneller geladen werden, jedoch steigt dadurch die Latenz. Der Browser besitzt eine Cloud-Synchronisierungsfunktion und seit August 2014 ist ein Werbeblocker integriert. Alleine was mich störte: Der Browser wird von UCWeb Inc, einem Tochterunternehmen der Alibaba Group, entwickelt.

Im Beitrag hier geht es um die Android-App, die kostenlos im Google Play Store angeboten wird. Die App hat in der aktuellen Fassung wohl über 19 Millionen Nutzer, Dr. Web berichtet von 500 Millionen Downloads.

UC Browser

The Hacker News berichtet hier über die Gefahr, dass Hacker ein Android-Gerät über die Browser-App übernehmen könnten. Die Sicherheitsspezialisten von Dr. Web haben einen Bericht veröffentlicht, demzufolge der C Browser für Android seit mindestens 2016 über eine “versteckte” Funktion verfügt. Diese Funktion ermöglicht es dem Unternehmen, jederzeit neue Bibliotheken und Module von seinen Servern herunterzuladen und auf den mobilen Geräten der Benutzer zu installieren.

Die Forscher schreiben: Während unserer Analyse hat UC Browser beispielsweise eine ausführbare Linux-Bibliothek von einem Remote-Server heruntergeladen. Die Bibliothek war nicht bösartig; sie ist für die Arbeit mit MS Office Dokumenten und PDF-Dateien konzipiert. Diese Bibliothek war zunächst nicht im Browser vorhanden. Nach dem Herunterladen speicherte das Programm die Bibliothek in seinem Verzeichnis und startete sie zur Ausführung.

Somit ist die Android-App tatsächlich in der Lage, Code, unter Umgehung der Google Play-Server, zu empfangen und auszuführen. Dies verstößt gegen die Regeln von Google für Software, die in seinem App Store verteilt wird. Die aktuelle Richtlinie besagt, dass von Google Play heruntergeladene Anwendungen weder ihren eigenen Code ändern noch Softwarekomponenten von Drittanbietern herunterladen können.

Diese Regeln wurden angewandt, um die Verbreitung von modularen Trojanern zu verhindern, die bösartige Plugins herunterladen und starten. Zu diesen Trojanern gehören Android.RemoteCode.127.origin und Android.RemoteCode.152.origin, die von Dr. Web im Januar und April 2018 gemeldet wurden.


Werbung

Genau dies macht aber der UC Browser als Android App. Der Entwickler oder Hacker könnten dies (ggf. durch einen Main in the middle-Angriff) nutzen, um bösartigen Code auf dem Android-Gerät zu installieren.

“Um einen MITM-Angriff durchzuführen, müssen Cyberkriminelle lediglich die Serverantwort von http://puds.ucweb.com/upgrade/index.xhtml?dataver=pb abfangen, den Link zum herunterladbaren Plugin und die Werte der zu verifizierenden Attribute, d.h. den MD5-Hash des Archivs, seine Größe und die Größe des Plugins ersetzen. Dann greift der Browser auf einen bösartigen Server zu, und wird das Trojaner-Modul herunterladen und starten.”, so die Sicherheitsforscher. Angesicht dieser Erkenntnis bleibt wohl nur, die App zu deinstallieren, falls ihr die verwendet.


Anzeige
Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.