Самые последние версии UC Browser и UC Browser Mini оказались небезопасными. В них обнаружена серьезная уязвимость, позволяющая проводить атаки типа так называемого URL-спуфинга. Создателям браузера уже известно об этой проблеме, но они отказываются ее устранять.
Обнаружить уязвимость удалось исследователю кибербезопасности Арифу Хану. Сразу же после обнаружения проблемы он сообщил о ней разработчикам UCWeb. Случилось это еще в прошлом месяце. За прошедшее время не было предпринято никаких действий, направленных на исправление проблемы и судя по всему разработчики вообще не собираются ее исправлять, поэтому Хан решил рассказать общественности о существующей уязвимости, чтобы подготовить пользователей к возможным атакам.
Что такое вообще URL-спуфинг? Это такой вид кибератаки, когда атакующий меняет в адресной строке отображаемый URL. Такие атаки опасны тем, что пользователь видит в адресной строке знакомый адрес и полностью доверят открытому сайту свои личные данные, но в конечном итоге он оказывается на вредоносной странице. Такие страницы могут предназначаться для разных целей. Одни используются для похищения личных данных, а другие — для заражения мобильного устройства вредоносным программным обеспечением.
По словам экспертов, URL-спуфинг можно отнести к самым серьезным видам атак, так как единственное, по чем пользователи могут отличить оригинальный сайт от подделки — это адрес в адресной строке. Если проводить с ним какие-то манипуляции и скрыто менять, то пользователи лишаются возможности идентифицировать настоящий ресурс.
Хан считает, что такие атаки осуществляются из-за того, что браузеры проводят недостаточно тщательную подготовку регулярных выражений.
Данная проблема затрагивает версии UC Browser 12.11.2.1184 и UC Browser Mini 12.10.1.1192. Все версии, вышедшие ранее, данной уязвимости не имеют.
Сообщение об обнаруженной проблеме поступило разработчикам веб-обозревателя еще 30 апреля, но по сегодняшний день они упорно игнорируют факт наличия такой проблемы. Более того, после добавления информации о баге в UCWeb-систему, ей присвоили статус «Ignored», то есть игнорировать.