Falls jemand den UC Browser unter Android installiert haben sollte, werft die App runter. Diese weist eine schwere Sicherheitslücke auf, über die Angreifer Bibliotheken in der App nachladen und Code auf dem Gerät ausführen können.
Anzeige
Den UC Browser gibt es laut Wikipedia bereits seit August 2004, wobei dieser für verschiedene Plattformen bereit steht. Das Besondere: Der Internetbrowser verwendet Cloud-Beschleunigung und Datenkompressionstechnologien. Die Server des Entwicklers funktionieren als Proxys, welche die Daten vor dem Senden komprimieren. Dies führt dazu, dass Webinhalte schneller geladen werden, jedoch steigt dadurch die Latenz. Der Browser besitzt eine Cloud-Synchronisierungsfunktion und seit August 2014 ist ein Werbeblocker integriert. Alleine was mich störte: Der Browser wird von UCWeb Inc, einem Tochterunternehmen der Alibaba Group, entwickelt.
Im Beitrag hier geht es um die Android-App, die kostenlos im Google Play Store angeboten wird. Die App hat in der aktuellen Fassung wohl über 19 Millionen Nutzer, Dr. Web berichtet von 500 Millionen Downloads.
The Hacker News berichtet hier über die Gefahr, dass Hacker ein Android-Gerät über die Browser-App übernehmen könnten. Die Sicherheitsspezialisten von Dr. Web haben einen Bericht veröffentlicht, demzufolge der C Browser für Android seit mindestens 2016 über eine "versteckte" Funktion verfügt. Diese Funktion ermöglicht es dem Unternehmen, jederzeit neue Bibliotheken und Module von seinen Servern herunterzuladen und auf den mobilen Geräten der Benutzer zu installieren.
Anzeige
Die Forscher schreiben: Während unserer Analyse hat UC Browser beispielsweise eine ausführbare Linux-Bibliothek von einem Remote-Server heruntergeladen. Die Bibliothek war nicht bösartig; sie ist für die Arbeit mit MS Office Dokumenten und PDF-Dateien konzipiert. Diese Bibliothek war zunächst nicht im Browser vorhanden. Nach dem Herunterladen speicherte das Programm die Bibliothek in seinem Verzeichnis und startete sie zur Ausführung.
Somit ist die Android-App tatsächlich in der Lage, Code, unter Umgehung der Google Play-Server, zu empfangen und auszuführen. Dies verstößt gegen die Regeln von Google für Software, die in seinem App Store verteilt wird. Die aktuelle Richtlinie besagt, dass von Google Play heruntergeladene Anwendungen weder ihren eigenen Code ändern noch Softwarekomponenten von Drittanbietern herunterladen können.
Diese Regeln wurden angewandt, um die Verbreitung von modularen Trojanern zu verhindern, die bösartige Plugins herunterladen und starten. Zu diesen Trojanern gehören Android.RemoteCode.127.origin und Android.RemoteCode.152.origin, die von Dr. Web im Januar und April 2018 gemeldet wurden.
Genau dies macht aber der UC Browser als Android App. Der Entwickler oder Hacker könnten dies (ggf. durch einen Main in the middle-Angriff) nutzen, um bösartigen Code auf dem Android-Gerät zu installieren.
"Um einen MITM-Angriff durchzuführen, müssen Cyberkriminelle lediglich die Serverantwort von http://puds.ucweb.com/upgrade/index.xhtml?dataver=pb abfangen, den Link zum herunterladbaren Plugin und die Werte der zu verifizierenden Attribute, d.h. den MD5-Hash des Archivs, seine Größe und die Größe des Plugins ersetzen. Dann greift der Browser auf einen bösartigen Server zu, und wird das Trojaner-Modul herunterladen und starten.", so die Sicherheitsforscher. Angesicht dieser Erkenntnis bleibt wohl nur, die App zu deinstallieren, falls ihr die verwendet.
Anzeige
Tja und wie werde ich das Ding los wenn das Teil nicht unter den installierten Apps unter Android auftauscht? Immerhin ist die Seite hier so gepimpt daß sie von Google gefunden wird wenn ich nach "UC browser deinstallieren" suche.
Der UC Browser ist auf einigen Android Geräten von Lenovo nämlich vorinstalliert, und vom Prinzip her müßte man mal wissen wie das APK dazu heißt damit man es dann wenigstens über die Konsole rauswerfen könnte…
Der Artikel und der Hinweis auf deinstallieren bezog sich auf Leute, die die App aus dem Play Store selbst installiert haben. Wenn der Hersteller die App vorinstalliert, wird ohne Root nix gehen – und das ist außerhalb dessen, was ich hier anbiete – ich muss nicht über das 'hingehaltene Stöckchen' springen – notfalls halt auf Lenovo verzichten.