Categories: MobileMobile Apps

Schwerwiegender Bug im UC Browser gefährdet mehr als 500 Millionen Nutzer

Im von der Alibaba-Tochter UCWeb entwickelten UC Browser steckt offenbar ein schwerwiegender Design-Fehler. Er erlaubt es Angreifern, Updates für den Browser zu manipulieren, wie Forscher des russischen Sicherheitsanbieters Dr. Web herausgefunden haben. Davon betroffen sind alleine mehr als 500 Millionen Nutzer, die den Browser über den Google Play Store heruntergeladen haben.

Dr. Web kritisiert, dass der UC Browser zusätzliche Software-Bibliotheken von eigenen Servern bezieht, statt sie von Googles offiziellen Play-Store-Servern abzurufen. „Das verstößt gegen Googles Regeln und ist eine ernste Sicherheitsbedrohung, weil es ermöglicht, dass beliebiger Code, also auch Schadcode, auf Android-Geräte gelangt“, warnen die Forscher von Dr. Web.

Besonders heikel ist ihnen zufolge, dass der UC Browser Updates über eine unverschlüsselte HTTP-Verbindung erhält, was Man-in-the-Middle-Angriffe (MITM) begünstigt. „Falls Cyberkriminelle die Kontrolle über die Befehlsserver des Browsers erhalten, können sie die eingebaute Update-Funktion nutzen, um beliebigen ausführbaren Code zu verteilen, darunter Malware. Außerdem ist der Browser anfällig für MITM-Angriffe“, so die Forscher weiter.

Um beispielsweise eines neues Plug-in herunterzuladen sende der Browser eine Anfrage an seinen Befehlsserver und erhalte als Antwort eine Link zu einer Datei. Da die Kommunikation unverschlüsselt erfolge, könnten Cyberkriminelle die Anfragen abfangen und die Adressen ändern. „Das bringt den Browser dazu, neue Module von gefährlichen Servern statt vom eigenen Befehlsserver zu laden. Da der UC Browser mit unsignierten Plug-ins arbeitet, wird er schädliche Module ohne jegliche Prüfung ausführen.

Von dem Problem ist nicht nur der UC Browser, sondern auch die App UC Browser Mini betroffen, die weitere 100 Millionen Installationen im Play Store zählt. Sie soll jedoch nicht anfällig für MITM-Angriffe sein – die Manipulation von Update-Dateien soll aber trotzdem möglich sein. Bleeping Computer will zudem herausgefunden haben, dass die Desktopversion des UC Browsers MITM-Angriffe erlaubt und damit das Einschleusen gefährlicher Erweiterungen.

Laut Dr. Web haben die Entwickler von UCWeb bisher die Sicherheitswarnungen ignoriert. Deswegen sei inzwischen auch Google über die Anfälligkeiten informiert worden. Trotzdem sei der Browser weiterhin im Play Store erhältlich.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago