600 millió felhasználót veszélyeztetett egy webböngésző

A világ negyedik legnépszerűbb webböngészőjében komoly biztonsági hiányosságokra derült fény. Már a Google is lépett az ügyben.
 

Az UC Browser nevű webböngészőnek mobilos és PC-kre tervezett változata is van. A StatCounter adatai szerint összességében ez a szoftver a világ negyedik legelterjedtebb webböngészője, és különösen Kínában, valamint Indiában hódít a felhasználók körében. Az Alibaba alá tartozó UCWeb által fejlesztett alkalmazás kapcsán - hasonlóan más böngészőkhöz - közbe-közbe felmerülnek biztonsági problémák. Idén márciusban például a Doctor Web kutatói figyeltek fel arra, hogy a webböngésző Android kompatibilis kiadása hagyományos HTTP kapcsolaton keresztül töltöget le különféle kiegészítő modulokat. Nem sokkal később az is kiderült, hogy az asztali kiadás is hasonlóan működik. Ezzel pedig a webböngésző megágyazott a közbeékelődéses (MiTM) támadásoknak, amik az adatforgalom megfigyelése mellett kártékony programok telepítésére is módot adhattak.
 
Az UC Browser kapcsán legutóbb a Zscaler indított vizsgálatot, és megállapította, hogy az androidos verziók továbbra is aggályosak biztonsági szempontból. Ez azért is komoly probléma, mert az UC Browser a Google Play áruházban több mint 500 millió letöltéssel büszkélkedik, miközben az UC Browser Mini is több mint 100 milliós felhasználói bázissal rendelkezik.
 
Az alapprobléma
 
A Zscaler kutatói szerint a webböngésző továbbra is különféle alkalmazásokhoz tartozó telepítőfájlokat töltögetett le a háttérben, szintén védtelen HTTP-csatornákon keresztül. Ezzel a - tavaszi esethez hasonlóan - megvolt a lehetőség MiTM-támadások kezdeményezésére. A vizsgálatok alapján a szoftver a 9Apps nevű, nem hivatalos alkalmazásáruházból szerezte be a telepítőfájlokat, mindezt egyelőre ismeretlen célból.  
Lassan érkezett a megoldás
 
A biztonsági cég a felfedezéséről már augusztus 13-án értesítette a Google-t, és jelezte, hogy a két népszerű alkalmazás megsérti a Google Play szabályait. Azok ugyanis kimondják, hogy a Google Play-ből telepített alkalmazásokat csak a Play frissítési mechanizmusaival lehet frissíteni, módosítani, és ezek az appok nem szerezhetnek be külső forrásból származó APK, .dex, JAR stb. fájlokat. A Google-lel egészen szeptember 25-ig folyt a levelezés, amikor a vállalat lépett, és elismerte a biztonsági rendellenességek létezését. Egyúttal felszólította az UCWeb-et a problémák elhárítására.
 
Mostanra az UC Browser fejlesztői megtették a szükséges lépéseket, így az alkalmazás immár megfelel a Google előírásainak. Az eset azonban rávilágított arra, hogy a biztonságra önmagában nem garancia az, ha egy appot milliószámára töltenek le a felhasználók, sőt még az sem, ha mindezt a hivatalos webáruházból teszik.