Kelemahan yang Tidak Terkirim dalam Aplikasi Peramban UC Dapat Membiarkan Peretas Meluncurkan Serangan Phising - Otak Kita

Kelemahan yang Tidak Terkirim dalam Aplikasi Peramban UC Dapat Membiarkan Peretas Meluncurkan Serangan Phising


Otak Kita - Seorang pemburu bug telah menemukan dan mengungkapkan secara terbuka rincian bilah alamat peramban yang tidak ditiru yang memengaruhi kerentanan Browser UC Cina dan aplikasi UC Browser Mini populer untuk Android.

Dikembangkan oleh UCWeb milik Alibaba, UC Browser adalah salah satu browser seluler paling populer, khususnya di Cina dan India, dengan basis pengguna besar lebih dari setengah miliar pengguna di seluruh dunia.

Menurut perincian keamanan yang dibagikan peneliti Arif Khan dengan The Hacker News, kerentanan berada dalam cara User Interface di kedua browser menangani fitur built-in khusus yang jika tidak dirancang untuk meningkatkan pengalaman pengguna pencarian Google.

Kerentanan, yang belum menetapkan pengenal CVE apa pun, dapat memungkinkan penyerang untuk mengontrol string URL yang ditampilkan di bilah alamat, yang pada akhirnya membiarkan situs web berbahaya berpose sebagai beberapa situs yang sah.

Kerentanan tersebut mempengaruhi UC Browser versi terbaru 12.11.2.1184 dan UC Browser Mini versi 12.10.1.1192 — yang saat ini digunakan oleh lebih dari 500 juta dan 100 juta pengguna, menurut Google Play Store.

Meskipun cacatnya mirip dengan yang ditemukan Khan bulan lalu di peramban MI yang sudah diinstal sebelumnya pada ponsel cerdas Xiaomi dan peramban Mint, laman phishing yang disajikan menggunakan kerentanan yang baru ditemukan di UC Browser masih menyisakan beberapa indikator yang bisa dilihat oleh pengguna yang waspada.

Ketika pengguna mencari sesuatu di "google.com" menggunakan UC Browser, browser secara otomatis menghapus domain dari bilah alamat dan menulis ulang hanya untuk menampilkan string permintaan pencarian kepada pengguna.


Arif menemukan bahwa logika pencocokan pola yang digunakan oleh UC Browser tidak cukup dan dapat disalahgunakan oleh penyerang dengan hanya membuat subdomain pada domain mereka sendiri, seperti "www.google.com.phishing-site.com?q=www.facebook.com, "mengelabui browser untuk berpikir bahwa situs yang diberikan adalah" www.google.com "dan permintaan pencarian adalah" www.facebook.com. "

Kerentanan spoofing Bilah Alamat URL dapat digunakan untuk menjebak pengguna UC Browser dengan mudah dengan berpikir mereka mengunjungi situs web tepercaya ketika benar-benar disajikan dengan halaman phishing, seperti yang ditunjukkan dalam demonstrasi video.

    "Fakta bahwa aturan regex mereka hanya cocok dengan string URL, atau, URL setiap pengguna mencoba mengunjungi pola daftar putih tetapi hanya memeriksa apakah URL dimulai dengan string seperti www.google.com dapat memungkinkan penyerang untuk memotong regex ini periksa dengan hanya menggunakan subdomain di domainnya seperti www.google.com.blogspot.com dan lampirkan nama domain target (yang ingin ia ajukan sebagai) ke bagian permintaan subdomain ini seperti? q = www.facebook.com, "Arif menjelaskan dalam posting blog . 


Tidak seperti cacat peramban Xiaomi , kerentanan peramban UC tidak memungkinkan penyerang memalsukan indikator SSL, yang merupakan faktor dasar dan penting yang diperiksa silang pengguna untuk menentukan apakah suatu situs itu palsu atau sah.

The Hacker News telah memverifikasi kerentanan secara independen dan dapat mengonfirmasikannya berfungsi pada versi terbaru dari kedua browser web yang tersedia pada saat penulisan.

Apa yang menarik? Peneliti juga menyebutkan bahwa beberapa versi lama dan lainnya dari UC Browser dan UC Browser Mini tidak terpengaruh oleh kerentanan Alamat URL spoofing ini, yang menunjukkan bahwa "fitur baru mungkin telah ditambahkan ke browser ini kadang-kadang kembali yang menyebabkan masalah ini. "

Khan secara bertanggung jawab melaporkan kerentanan terhadap tim keamanan UC Browser lebih dari seminggu yang lalu, tetapi perusahaan belum mengatasi masalah ini dan hanya menempatkan status Abaikan pada laporannya.

UC Browser ada dalam berita lebih dari sebulan yang lalu ketika para peneliti menemukan fitur "tersembunyi" di aplikasi Android-nya yang bisa saja dieksploitasi oleh penyerang untuk mengunduh dan mengeksekusi kode berbahaya dari ponsel Android dari jarak jauh dan membajaknya.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel