Buzz
UC Browser và UC Browser Mini trên Android là hai ứng dụng phổ biến, với hơn 600 triệu lượt tải xuống và cài đặt trên Google Play Store, vì vậy không ngạc nhiên khi chúng trở thành mục tiêu của những kẻ xâm nhập.
Theo thông tin từ Bleepingcomputer, người dùng của các ứng dụng bị ảnh hưởng bởi các cuộc tấn công MiTM có thể tải và cài đặt thêm các module từ máy chủ của chúng thông qua các kênh không được bảo vệ, và bỏ qua máy chủ của Google Play.
Theo tài liệu hỗ trợ của Google về 'quyền riêng tư, bảo mật và lừa đảo', các ứng dụng Android 'được phân phối thông qua Google Play không được sửa đổi, thay thế hoặc tự cập nhật bằng bất kỳ phương thức nào ngoài cơ chế cập nhật của Google. Tương tự, ứng dụng không thể tải xuống mã thực thi (như các file dex, JAR, .so) từ các nguồn khác ngoài Google Play'.
Các nhà nghiên cứu bảo mật từ Doctor Web đã phát hiện ra rằng các ứng dụng có khả năng 'bí mật' tải xuống các thành phần phụ trợ từ Internet. 'Trình duyệt nhận các lệnh từ máy chủ Command And Control và tải xuống các thư viện và module mới, bổ sung các tính năng mới có thể được sử dụng để cập nhật phần mềm'.
Giao tiếp với người dùng thông qua các cuộc tấn công MitM
Mặc dù UC Browser và UC Browser Mini chưa được phát hiện tải và cài đặt mã độc trên các thiết bị đã cài đặt ứng dụng, nhưng chúng có thể tải và cài đặt thêm các module từ máy chủ, tạo ra nguy cơ tiềm ẩn cho người dùng.
Trong báo cáo của mình, nhóm nghiên cứu Doctor Web giải thích: 'Không thể chắc chắn rằng tội phạm mạng sẽ không hiểu cách thức hoạt động của máy chủ từ nhà phát triển hoặc sử dụng tính năng cập nhật để lây nhiễm mã độc cho hàng trăm triệu thiết bị Android'.
Kẻ tấn công cũng có thể sử dụng tính năng cập nhật trong UC Browser để thực hiện các cuộc tấn công MitM (man-in-the-middle attack), dẫn đến khả năng thực thi mã từ xa trên các thiết bị bị xâm nhập, vì ứng dụng giao tiếp với máy chủ của nó qua kênh không được mã hóa thông qua HTTP.
Các yếu tố độc hại có thể thành công thực thi nội dung của mình trong các thông báo gửi giữa ứng dụng và máy chủ cập nhật, điều khiển ứng dụng UC Browser tải các module độc hại từ các máy chủ mà chúng kiểm soát.
Các module này sẽ được khởi chạy trên thiết bị nơi ứng dụng được cài đặt, và ứng dụng sẽ không thực hiện kiểm tra các module mà nó đã cài đặt, vì vậy chúng được coi là an toàn nếu chỉ tải từ máy chủ của công ty.
Các nhà nghiên cứu bảo mật của Doctor Web cũng chia sẻ video miêu tả cách thức tấn công MiTM, đặc biệt là nạn nhân muốn xem tài liệu PDF bằng UC Browser phải tải plug-in module để xem từ máy chủ cập nhật của ứng dụng.
Các nhà nghiên đã ngăn chặn thông báo được gửi đến máy chủ cập nhật và thay thế module bằng một module được thiết kế để hiển thị thông báo 'PWNED!' trên thiết bị của nạn nhân.
Ứng dụng UC Browser Mini cũng tích hợp cơ chế cập nhật tương tự phá vỡ các kênh cập nhật chính thức của Play Store để tải module ứng dụng bổ sung không bị ảnh hưởng bởi lỗ hổng MiTM.
UC Browser trên máy tính cũng dễ bị tổn thương
Theo kết quả nghiên cứu của BleepingComputer, khi thử nghiệm cập nhật module có sẵn trong ứng dụng UC Browser trên máy tính, cho thấy ứng dụng cũng dễ bị ảnh hưởng bởi các cuộc tấn công MiTM, điều này có thể cho phép tác nhân xấu tải tiện ích mở rộng độc hại trên máy tính của người dùng.
UC Browser trên máy tính cần người dùng tải các module bổ sung để xem tài liệu PDF và tải chúng dưới dạng tiện ích mở rộng Chrome từ máy chủ cập nhật của ứng dụng ở Trung Quốc thông qua kết nối HTTP không an toàn như minh họa dưới đây:
Nhóm nghiên cứu đã liên hệ với Google và UCWeb Inc. (còn được biết đến là UC Mobile), những công ty phát triển 2 ứng dụng, chia sẻ thông tin về các lỗ hổng được phát hiện trong UC Browser và UC Browser Mini.
https://Mytour.vn/canh-bao-lo-hong-mitm-nguy-hiem-tren-uc-browser-cho-android-24705n.aspx
Mặc dù cả 2 trình duyệt hiện vẫn có sẵn và có thể tải các thành phần mới, bỏ qua máy chủ Google Play, nhưng Taimienphi.vn khuyến cáo người dùng đã cài đặt UC Browser cho Android nên gỡ bỏ càng sớm càng tốt.
