Schwerwiegender Bug im UC Browser gefährdet mehr als 500 Millionen Nutzer

Im von der Alibaba-Tochter UCWeb entwickelten UC Browser steckt offenbar ein schwerwiegender Design-Fehler. Er erlaubt es Angreifern, Updates für den Browser zu manipulieren, wie Forscher des russischen Sicherheitsanbieters Dr. Web herausgefunden haben. Davon betroffen sind alleine mehr als 500 Millionen Nutzer, die den Browser über den Google Play Store heruntergeladen haben.

Dr. Web kritisiert, dass der UC Browser zusätzliche Software-Bibliotheken von eigenen Servern bezieht, statt sie von Googles offiziellen Play-Store-Servern abzurufen. „Das verstößt gegen Googles Regeln und ist eine ernste Sicherheitsbedrohung, weil es ermöglicht, dass beliebiger Code, also auch Schadcode, auf Android-Geräte gelangt“, warnen die Forscher von Dr. Web.

Besonders heikel ist ihnen zufolge, dass der UC Browser Updates über eine unverschlüsselte HTTP-Verbindung erhält, was Man-in-the-Middle-Angriffe (MITM) begünstigt. „Falls Cyberkriminelle die Kontrolle über die Befehlsserver des Browsers erhalten, können sie die eingebaute Update-Funktion nutzen, um beliebigen ausführbaren Code zu verteilen, darunter Malware. Außerdem ist der Browser anfällig für MITM-Angriffe“, so die Forscher weiter.

Um beispielsweise eines neues Plug-in herunterzuladen sende der Browser eine Anfrage an seinen Befehlsserver und erhalte als Antwort eine Link zu einer Datei. Da die Kommunikation unverschlüsselt erfolge, könnten Cyberkriminelle die Anfragen abfangen und die Adressen ändern. „Das bringt den Browser dazu, neue Module von gefährlichen Servern statt vom eigenen Befehlsserver zu laden. Da der UC Browser mit unsignierten Plug-ins arbeitet, wird er schädliche Module ohne jegliche Prüfung ausführen.

Von dem Problem ist nicht nur der UC Browser, sondern auch die App UC Browser Mini betroffen, die weitere 100 Millionen Installationen im Play Store zählt. Sie soll jedoch nicht anfällig für MITM-Angriffe sein – die Manipulation von Update-Dateien soll aber trotzdem möglich sein. Bleeping Computer will zudem herausgefunden haben, dass die Desktopversion des UC Browsers MITM-Angriffe erlaubt und damit das Einschleusen gefährlicher Erweiterungen.

Laut Dr. Web haben die Entwickler von UCWeb bisher die Sicherheitswarnungen ignoriert. Deswegen sei inzwischen auch Google über die Anfälligkeiten informiert worden. Trotzdem sei der Browser weiterhin im Play Store erhältlich.