600 miljoen internetters lopen gevaar door brakke Alibaba-browser
Volgens onderzoekers van Doctor Web bevat de Android-app van UC Browser een verborgen optie om softwaremodules te downloaden en uit te voeren. Dit gaat buiten de Google Play-servers om, wat in strijd is met de regels van de appwinkel. Het gevaar van het stiekeme installeren is dat Alibaba niet controleert welke code er gedownload wordt op het apparaat van de gebruiker. Het probleem van UC Browser zit ‘m specifiek in de updatefunctie voor plug-ins, schrijft de antivirusmaker.
Browser-app gebruikt geen https
Wanneer de Alibaba-browser een vereiste plug-in downloadt, stuurt de app een verzoek via een onbeveiligde http-verbinding. Een hacker die hiervan op de hoogte is (en dat zijn ze nu allemaal), kan zo’n verzoek onderscheppen en het adres vervangen. Op die manier downloadt de browser vervolgens een softwaremodule van een andere server. De hacker kan het softwarepakket volstoppen met malware, om maar iets te noemen. Normaliter checkt een app een plug-in door de handtekening van de code te controleren, maar de UC Browser-app doet dat niet. Hij installeert én draait de software zonder verificatie; een groot gevaar. Alibaba had het kwaadwillenden een stuk lastiger kunnen maken door in beginsel een https-verbinding te gebruiken en de code-verificatie te verplichten.
600 miljoen gebruikers lopen gevaar
De UC Browser is nu kwetsbaar voor een zogeheten man-in-the-middle-aanval. Een hacker die via de browser gevaarlijke software op een toestel installeert, kan de gebruiker bijvoorbeeld een pop-up-scherm tonen met de mededeling dat hij bepaalde gegevens moet invullen. Volgens Doctor Web kunnen trojan-modules daarnaast door de browser beschermde documenten en wachtwoorden buitmaken. De twee lekken zitten al sinds 2016 in de browser, zegt de antivirusontwikkelaar. UC Browser is meer dan 500 miljoen keer gedownload uit de Play Store. De UC Browser Mini-app, van dezelfde ontwikkelaar, is eveneens kwetsbaar en is meer dan 100 miljoen keer gedownload.
Alibaba geeft niet thuis
Doctor Web heeft de veiligheidslekken naar eigen zeggen gemeld bij Alibaba, maar die wilde geen reactie geven. De onderzoekers hebben de kwestie daarom aangekaart bij Google, dat de app alleen al zou moeten verwijderen omdat Alibaba de Play Store-regels schendt. Op moment van publicatie staan beide apps nog in de Play Store.
Hoewel de antivirusboer meldt dat gebruikers zelf moeten beslissen of ze de Alibaba-browser(s) willen blijven gebruiken, raden beveiligingsexperts aan de app(s) onmiddellijk te verwijderen totdat Alibaba de lekken dicht.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee