UC Browser permite hackear celulares Android de forma remota
¡Ten cuidado! Si estás utilizando el UC Browser en algún teléfono inteligente, deberías considerar desinstalarlo inmediatamente.
¿Por qué? Pues porque el UC Browser hecho en China contiene una capacidad “cuestionable”. Esta podría ser explotada por un atacante remoto para descargar y ejecutar código automáticamente en tus dispositivos Android.
Desarrollado por UCWeb, propiedad de Alibaba, UC Browser es uno de los navegadores móviles más populares. Esta popularidad se concentra mayormente en China e India, con una base de usuarios masiva de más de 500 millones de usuarios de todo el mundo.
Según un nuevo informe publicado por la firma Dr. Web, desde al menos el 2016, UC Browser para Android tiene una función “oculta” que le permite a la compañía descargar bibliotecas y módulos nuevos desde sus servidores en cualquier momento e instalarlos en los dispositivos móviles de los usuarios.
Se introducen complementos maliciosos en UC Browser usando un ‘ataque de intermediario’
¿Qué es preocupante? Resulta que la función mencionada descarga nuevos complementos del servidor de la empresa a través del protocolo HTTP inseguro en lugar del protocolo HTTPS cifrado. Esto permite a los atacantes remotos realizar ataques de intermediario y enviar módulos malintencionados a dispositivos específicos.
“Dado que UC Browser funciona con complementos sin firmar, lanzará módulos maliciosos sin ninguna verificación”, dicen los investigadores.
“Por lo tanto, para realizar un ataque de intermediario, los ciberdelincuentes solo deberán enganchar la respuesta del servidor desde http://puds.ucweb.com/upgrade/index.xhtml?dataver=pb, reemplazar el enlace al complemento descargable y a los valores de los atributos que deben verificarse, es decir, el MD5 del archivo, su tamaño y el tamaño del complemento. Como resultado, el navegador accederá a un servidor malintencionado para descargar e iniciar un módulo troyano”.
En un vídeo de prueba de concepto compartido por el Dr. Web, los investigadores demostraron cómo fueron capaces de reemplazar un complemento para ver documentos PDF con un código malicioso utilizando un ataque de intermediario, lo que obligó al navegador a compilar un nuevo mensaje de texto, en lugar de abrir el archivo.
“Por lo tanto, los ataques de intermediario pueden ayudar a los delincuentes cibernéticos a utilizar UC Browser para propagar complementos maliciosos que realizan una amplia variedad de acciones”, explican los investigadores.
“Por ejemplo, pueden mostrar mensajes de phishing para robar nombres de usuario, contraseñas, datos de tarjetas bancarias y otros datos personales. Además, los módulos troyanos podrán acceder a los archivos protegidos del navegador y robar las contraseñas almacenadas en el directorio del programa”.
El navegador viola las políticas de Google Play Store
Dado que la capacidad permite a UCWeb descargar y ejecutar código arbitrario en los dispositivos de los usuarios sin volver a instalar una nueva versión completa de la aplicación UC Browser, también viola la política de Play Store al evitar los servidores de Google.
“Esto viola las reglas de Google para el software distribuido en su tienda de aplicaciones. La política actual establece que las aplicaciones descargadas de Google Play no pueden cambiar su propio código ni descargar ningún componente de software de fuentes de terceros”, señalan los investigadores.
“Estas reglas se aplicaron para evitar la distribución de troyanos modulares que descargan y lanzan complementos maliciosos”.
Esta característica peligrosa se ha encontrado tanto en UC Browser como en su versión mini, con todas las versiones afectadas, incluida la última versión de los navegadores lanzada hasta la fecha.
El Dr. Web informó responsablemente sus hallazgos al desarrollador del navegador, pero se negaron incluso a proporcionar un comentario al respecto. Luego informó el problema a Google.
Al momento de escribir, el navegador está “todavía disponible y puede descargar nuevos componentes, sin pasar por los servidores de Google Play”, dicen los investigadores.
Se puede abusar de esta característica en los escenarios de ataque de la cadena de suministro en los que el servidor de la compañía se ve comprometido; esto permite a los atacantes enviar actualizaciones maliciosas a un gran número de usuarios a la vez. Así lo vimos recientemente en el ataque de la cadena de suministro de ASUS que comprometió a más de 1 millón de computadoras.
Entonces, a los usuarios de Android les queda solo una opción para hacer… deshacerse de la aplicación hasta que la compañía solucione el problema.