Lỗ hổng trong UC Browser cho phép tin tặc tấn công lừa đảo người dùng

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Lỗ hổng chưa được vá trong UC Browser cho phép tin tặc tấn công lừa đảo

Một bug hunter (thợ săn lỗi bảo mật) đã phát hiện và tiết lộ công khai chi tiết về một lỗ hổng chưa được vá giả mạo thanh địa chỉ trình duyệt đang ảnh hưởng đến các ứng dụng UC Browser và UC Browser Mini phổ biến của Trung Quốc cho Android.

Được phát triển bởi UCWeb thuộc sở hữu của Alibaba, UC Browser là một trong những trình duyệt di động phổ biến nhất hiện nay, đặc biệt là ở Trung Quốc và Ấn Độ  với hơn nửa tỷ người dùng trên toàn thế giới.

Lỗ hổng giả mạo Thanh địa chỉ URL

Nhà nghiên cứu chi tiết bảo mật Arif Khan cho biết  lỗ hổng này nằm ở lối vào  Giao diện người dùng (User Interface) trên cả hai trình duyệt, xử lý cùng một tính năng tích hợp đặc biệt vốn được thiết kế để cải thiện trải nghiệm tìm kiếm của người dùng Google.

Lỗ hổng này chưa được chỉ định bất kỳ số nhận dạng CVE nào. Lỗ hổng có thể cho phép kẻ tấn công kiểm soát chuỗi URL hiển thị trên thanh địa chỉ, từ đó khiến cho một trang web độc hại hiện thị như một trang web hợp pháp.

Theo Google Play Store thì lỗ hổng này ảnh hưởng đến UC Browser phiên bản mới nhất 12.11.2.1184 – hiện có  hơn 500 triệu người dùng và UC Browser Mini phiên bản 12.10.1.1192 với 100 triệu người dùng.

Mặc dù lỗ hổng này tương tự như lỗ hổng Khan đã phát hiện hồi tháng trước  trong trình duyệt MI được cài đặt sẵn trên điện thoại thông minh Xiaomi và trình duyệt Mint, nhưng có một điểm khác biệt là các trang lừa đảo chứa lỗ hổng mới được phát hiện trong UC Browser vẫn để lại một vài chỉ số mà người dùng cảnh giác có thể phát hiện ra ngay.

Cách tin tặc sử dụng lỗ hổng để tấn công

Khi người dùng tìm kiếm thông tin trên “google.com” bằng UC Browsers, trình duyệt sẽ tự động xóa tên miền khỏi thanh địa chỉ và chỉ viết lại để hiển thị chuỗi truy vấn tìm kiếm cho người dùng.

PoC của lỗ hổng giả mạo trên UC Browser

Arif nhận thấy rằng logic khớp mẫu được sử dụng bởi UC Browsers là không đủ và có thể bị những kẻ tấn công lạm dụng bằng cách tạo tên miền phụ trên tên miền riêng của chúng, ví dụ như “www.google.com.phishing-site.com?q=www.facebook.com,” để lừa các trình duyệt nghĩ rằng trang web đã cho là” www.google.com “và truy vấn tìm kiếm là” www.facebook.com. “

Lỗ hổng giả mạo Thanh địa chỉ URL này có thể được sử dụng để dễ dàng lừa người dùng UC Browser nghĩ rằng họ đang truy cập một trang web đáng tin cậy trong khi thực tế đó là một trang web lừa đảo.

Arif giải thích trên blog cá nhân rằng thực tế, các quy tắc Regex (Regular Expressions) của họ chỉ khớp với chuỗi URL hoặc một  URL bất kỳ mà người dùng đang cố truy cập vào mẫu danh sách trắng (whitelist pattern) nhưng chỉ để kiểm tra xem URL có bắt đầu bằng một chuỗi như www.google.com. Việc này cho phép những kẻ tấn công bỏ qua kiểm tra Regex bằng một cách đơn giản là sử dụng tên miền phụ trên tên miền của chúng như www.google.com.vn/blogspot.com và đính kèm tên miền đích mà chúng muốn đặt vào phần truy vấn của tên miền phụ đó, ví dụ như ?q = www.facebook.com.

Không giống như lỗ hổng của trình duyệt Xiaomi, lỗ hổng UC Browers không cho phép kẻ tấn công giả mạo chỉ số SSL. Đây là yếu tố cơ bản và quan trọng mà người dùng có thể kiểm tra chéo để xác định xem một trang web là giả mạo hay hợp pháp.

UC Brower chưa có phản hồi thỏa đáng về lỗ hổng

The Hacker News đã tự xác minh lỗ hổng và có thể xác nhận rằng nó hoạt động trên các phiên bản mới nhất của cả hai trình duyệt web có sẵn tại thời điểm viết.

Điều thú vị ở đây là nhà nghiên cứu cũng đề cập rằng một số phiên bản cũ và các phiên bản khác của UC Browser và UC Browser Mini không bị ảnh hưởng bởi lỗ hổng giả mạo Thanh địa chỉ URL này. Điều này cho thấy một tính năng mới có thể đã được thêm vào trình duyệt là nguyên nhân gây ra sự cố này.

Khan đã báo cáo lỗ hổng cho nhóm bảo mật của UC Browser hơn một tuần trước nhưng công ty này vẫn hiện vẫn chưa giải quyết vấn đề, thay vào đó chỉ đơn giản là gắn trạng thái “Bỏ qua” lỗ hổng trên báo cáo của nhà nghiên cứu. Trong tháng trước thì các báo chí cũng đã từng đồng loạt đưa tin về UC Brower khi các nhà nghiên cứu tìm thấy một tính năng “ẩn” trong ứng dụng Android có thể bị tin tặc khai thác để tải xuống từ xa và thực thi mã độc trên điện thoại Android rồi chiếm quyền điều khiển thiết bị.

THN