14.5 C
Paris
24 août 2019
Actu

Une faille non corrigée dans les applications du navigateur UC pourrait permettre aux hackers de lancer des attaques par hameçonnage

Un chasseur de bogues a découvert et divulgué publiquement les détails d’une vulnérabilité d’usurpation de la barre d’adresse de navigateur non corrigée qui affecte les populaires applications chinois UC Browser et UC Browser Mini pour Android.

Développé par UCWeb, propriété d’Alibaba, UC Browser est l’un des navigateurs mobiles les plus populaires, en particulier en Chine et en Inde, avec une base énorme de plus d’un demi milliard d’utilisateurs dans le monde.

Selon les informations communiquées par Arif Khan, chercheur en sécurité, avec The Hacker News, la vulnérabilité réside dans la manière dont l’interface utilisateur des deux navigateurs gère une fonctionnalité intégrée spécialement conçue pour améliorer l’expérience de recherche Google des utilisateurs.

Cette vulnérabilité, qui n’a pas encore attribué d’identifiant CVE, pourrait permettre à un attaquant de contrôler la chaîne d’URL affichée dans la barre d’adresse, permettant ainsi à un site Web malveillant de se faire passer pour un site légitime.

Cette vulnérabilité concerne les dernières versions de UC Browser 12.11.2.1184 et UC Browser Mini 12.10.1.1192, qui sont actuellement utilisées par plus de 500 millions et 100 millions d’utilisateurs respectivement, selon Google Play Store.

Bien que la faille soit similaire à celle découverte le mois dernier par Khan dans le navigateur MIpréinstallé sur les smartphones Xiaomi et le navigateur Mint, les pages de phishing utilisées à l’aide de la vulnérabilité récemment découverte dans UC Browser laissent encore quelques indicateurs que les utilisateurs vigilants peuvent détecter.

Lorsque les utilisateurs effectuent une recherche sur « google.com » à l’aide des navigateurs UC, ceux-ci suppriment automatiquement le domaine de la barre d’adresses et le réécrivent uniquement pour afficher la chaîne de requête de recherche à l’intention de l’utilisateur.

Arif a constaté que la logique de correspondance des modèles utilisée par les navigateurs d’UC est insuffisante et que des attaquants peuvent en abuser en créant simplement des sous-domaines sur leur propre domaine, tel que « www.google.com.phishing-site.com?q=www.facebook.com, « inciter les navigateurs à penser que le site donné est » www.google.com « et que la requête de recherche est » www.facebook.com. « 

La vulnérabilité d’usurpation de la barre d’adresse URL peut être utilisée pour tromper facilement les utilisateurs d’UC Browser en leur faisant croire qu’ils visitent un site Web de confiance alors qu’ils sont en train de consulter une page de phishing, comme le montre la démonstration vidéo.

« Le fait que leurs règles de regex correspondent à la chaîne de l’URL ou à l’URL qu’un utilisateur tente de visiter un modèle de liste blanche, mais vérifie uniquement si l’URL commence par une chaîne telle que www.google.com peut permettre à un attaquant de contourner cette regex vérifiez en utilisant simplement un sous-domaine de son domaine, tel que www.google.com.blogspot.com, et attachez le nom de domaine cible (qu’il souhaite poser) à la partie requête de ce sous-domaine, comme? q = www.facebook.com, « Arif explique dans un article de blog .
Contrairement à la faille des navigateurs Xiaomi , la vulnérabilité des navigateurs UC ne permet pas à un attaquant d’usurper l’indicateur SSL, ce qui constitue un facteur fondamental et important que les utilisateurs vérifient par recoupement pour déterminer si un site est faux ou légitime.

FCA-TEAM a indépendamment vérifié la vulnérabilité et peut confirmer que cela fonctionne avec les dernières versions des deux navigateurs Web disponibles au moment de la rédaction.

Qu’est-ce qui est intéressant? Le chercheur a également indiqué que certaines anciennes et autres versions de UC Browser et UC Browser Mini ne sont pas affectées par cette vulnérabilité d’usurpation de la barre d’adresse URL, ce qui suggère qu’une « nouvelle fonctionnalité a peut-être été ajoutée à ce navigateur il y a quelque temps, à l’origine de ce problème. « 

Khan a signalé de manière responsable la vulnérabilité à l’équipe de sécurité de UC Browser il y a plus d’une semaine, mais la société n’a pas encore résolu le problème et a simplement mis un statut Ignorer sur son rapport.

UC Browser était dans les nouvelles il y a un mois à peine lorsque des chercheurs ont découvert une fonctionnalité « cachée » Dans son application Android, des attaquants auraient pu exploiter et télécharger à distance les codes malicieux sur les téléphones Android et les pirater.

Related posts

La reconnaissance faciale de la police britannique a un taux d’erreur de 81%

mr robot

YouTube supprime les commentaires sur toutes les vidéos figurant des enfants

chrn0s

41 vérités qui dérangent sur la «nouvelle économie énergétique»

mr robot

Laissez un commentaire

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désabonner si vous le souhaitez. Accepté Lire la suite

Politique de confidentialité et cookies