Comparte en:

Las aplicaciones de Android UC Browser y UC Browser Mini, muy populares, con un total de más de 600 millones de instalaciones en la Play Store, expusieron a sus usuarios a ataques man-in-the-middle (MiTM), al descargar un paquete de Android (APK) desde un servidor de terceros desprotegido.

Hacer esto es una violación directa de las reglas de la tienda de aplicaciones de Google, ya que las aplicaciones de Android “distribuidas a través de Google Play no pueden modificarse, reemplazarse o actualizarse utilizando ningún otro método que no sea el mecanismo de actualización de Google Play”.

“Del mismo modo, una aplicación no puede descargar código ejecutable (por ejemplo, archivos dex, JAR, .so) de una fuente que no sea Google Play”, como Google también indica en las reglas de privacidad, seguridad y engaño de Play Store.

Al analizar el comportamiento de las aplicaciones, los investigadores de Zscaler ThreatLabZ descubrieron los siguientes tres problemas:

  • Descargar un APK adicional de un tercero, en violación de la política de Google Play
  • Comunicación a través de un canal no seguro – esto abre puertas a ataques de hombre en el medio.
  • Dejar un APK en almacenamiento externo (/storage/emulated/0).

Problemas de seguridad y privacidad solucionados

Zscaler informó los problemas de violación de la política del navegador UC a Google el 13 de agosto e intercambió correos electrónicos con el equipo de Google hasta el 25 de septiembre.

El 27 de septiembre, Google confirmó los problemas de UC Browser y UC Mini descubiertos por los investigadores y contactó a UCWeb para “actualizar las aplicaciones y remediar la violación de la política”.

Posteriormente, UCWeb actualizó y solucionó los problemas en ambas aplicaciones al ver que Zscaler descubrió más tarde que dejaron de colocar APK de terceros en los dispositivos Android de sus usuarios.

“Debido a que UC Browser descarga una aplicación de terceros desconocida en dispositivos a través de canales no seguros, esos dispositivos pueden ser víctimas de ataques de hombre en el medio (MiTM). Al usar MiTM, los atacantes pueden espiar el dispositivo e interceptar o cambiar sus comunicaciones”, dice Zscaler.

 

“El uso de la aplicación UC Browser en canales no seguros también permite a los atacantes instalar un payload arbitrario en un dispositivo que puede realizar una variedad de actividades, como mostrar mensajes de phishing diseñados para robar datos personales, incluidos nombres de usuario, contraseñas y números de tarjetas de crédito”.

La tienda de aplicaciones de terceros

UC Browser solo descargó el APK del dominio 9appsdownloading[.]com en el almacenamiento externo de los dispositivos Android sin instalarlo realmente.

Esto sucedió porque esta funcionalidad todavía estaba en desarrollo en ese momento. o porque el dispositivo de prueba podría no haber cumplido una condición codificada, como una “opción de fuente desconocida deshabilitada o dispositivo rooteado”.

El equipo de investigación de Zscaler fue más allá y, después de instalar APK, descubrió que era una tienda de aplicaciones de terceros llamada 9Apps, con el nombre del paquete com.mobile.indiapp.

Después de ejecutarse en el dispositivo de prueba, la aplicación 9Apps comenzó a buscar aplicaciones instaladas y permitió instalar más aplicaciones desde su tienda de aplicaciones incorporada, también descargaba APK desde el dominio 9appsdownloading[.]com.

Zscaler detectó otras solicitudes de descarga de APK de este dominio, con más de 130 de ellas en agosto, como lo muestra la solución de monitoreo de tráfico en la nube de la compañía.

“Las tácticas utilizadas por UC Browser y UC Mini violan las políticas de seguridad de Google Play y hacen posible que cualquier aplicación maliciosa pueda ingresar al dispositivo de un usuario”, dice Zscaler.

“Si bien 9Apps, una tienda para aplicaciones de Android, no es un sitio malicioso, buscamos el dominio usando VirusTotal, y mostró varias detecciones”.

“Es demasiado pronto para determinar exactamente qué pretendían los desarrolladores del navegador UC con su APK de terceros, pero está claro que están poniendo en riesgo a los usuarios.

Problemas de seguridad y privacidad del navegador UC

UC Browser, el navegador móvil líder en el mercado en China e India y el cuarto navegador móvil más popular del mundo según StatCounter, es desarrollado por UCWeb, una compañía propiedad del grupo chino Alibaba desde 2014.

Esta no es la primera vez que los usuarios del navegador UC están en riesgo dado que, como informamos anteriormente a fines de marzo, los investigadores de Doctor Web observaron la aplicación mientras instalaban módulos adicionales desde los servidores de UCWeb a través de conexiones HTTP no seguras, exponiéndolos también a ataques de hombre en el medio (MiTM).

Como se descubrió más tarde, la aplicación de escritorio UC Browser también era vulnerable a los ataques MiTM, lo que potencialmente permitía a los atacantes descargar extensiones maliciosas en las computadoras de los usuarios.

Dos meses después, las dos aplicaciones también estaban exponiendo a sus usuarios a ataques de suplantación de URL.

Citizen Lab también encontró varios problemas de privacidad y seguridad con UC Browser en 2015, con la aplicación observada mientras filtraba “una cantidad significativa de datos personales y de identificación personal”.

Así que este incidente, parece uno más en la historia de este navegador. La compañía aún no se ha pronunciado al respecto.




0 Comments

Deja un comentario