Categories: MobileMobile Apps

Schwerwiegender Bug im UC Browser gefährdet mehr als 500 Millionen Nutzer

Im von der Alibaba-Tochter UCWeb entwickelten UC Browser steckt offenbar ein schwerwiegender Design-Fehler. Er erlaubt es Angreifern, Updates für den Browser zu manipulieren, wie Forscher des russischen Sicherheitsanbieters Dr. Web herausgefunden haben. Davon betroffen sind alleine mehr als 500 Millionen Nutzer, die den Browser über den Google Play Store heruntergeladen haben.

Dr. Web kritisiert, dass der UC Browser zusätzliche Software-Bibliotheken von eigenen Servern bezieht, statt sie von Googles offiziellen Play-Store-Servern abzurufen. „Das verstößt gegen Googles Regeln und ist eine ernste Sicherheitsbedrohung, weil es ermöglicht, dass beliebiger Code, also auch Schadcode, auf Android-Geräte gelangt“, warnen die Forscher von Dr. Web.

Besonders heikel ist ihnen zufolge, dass der UC Browser Updates über eine unverschlüsselte HTTP-Verbindung erhält, was Man-in-the-Middle-Angriffe (MITM) begünstigt. „Falls Cyberkriminelle die Kontrolle über die Befehlsserver des Browsers erhalten, können sie die eingebaute Update-Funktion nutzen, um beliebigen ausführbaren Code zu verteilen, darunter Malware. Außerdem ist der Browser anfällig für MITM-Angriffe“, so die Forscher weiter.

Um beispielsweise eines neues Plug-in herunterzuladen sende der Browser eine Anfrage an seinen Befehlsserver und erhalte als Antwort eine Link zu einer Datei. Da die Kommunikation unverschlüsselt erfolge, könnten Cyberkriminelle die Anfragen abfangen und die Adressen ändern. „Das bringt den Browser dazu, neue Module von gefährlichen Servern statt vom eigenen Befehlsserver zu laden. Da der UC Browser mit unsignierten Plug-ins arbeitet, wird er schädliche Module ohne jegliche Prüfung ausführen.

Von dem Problem ist nicht nur der UC Browser, sondern auch die App UC Browser Mini betroffen, die weitere 100 Millionen Installationen im Play Store zählt. Sie soll jedoch nicht anfällig für MITM-Angriffe sein – die Manipulation von Update-Dateien soll aber trotzdem möglich sein. Bleeping Computer will zudem herausgefunden haben, dass die Desktopversion des UC Browsers MITM-Angriffe erlaubt und damit das Einschleusen gefährlicher Erweiterungen.

Laut Dr. Web haben die Entwickler von UCWeb bisher die Sicherheitswarnungen ignoriert. Deswegen sei inzwischen auch Google über die Anfälligkeiten informiert worden. Trotzdem sei der Browser weiterhin im Play Store erhältlich.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

4 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

22 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago