スマートフォン向け人気ブラウザ「UC Browser」にGoogle Playを経由して悪意のあるコードを実行可能な脆弱性

by Blogtrepreneur

スマートフォンブラウザ「UC Browser」はアリババ・グループ・ホールディングが所有するUCWebによって開発され、特に中国やインドなどで人気があり利用者は5億人を超えるといわれています。しかし、インターネットセキュリティ会社Doctor Webは「UC BrowserはGoogle Playを経由して悪意のあるものも含めたあらゆるコードをダウンロードして実行可能だ」として注意を喚起しています。

Hundreds of millions of UC Browser users for Android are threatened
https://news.drweb.com/show/?i=13176&c=38&lng=en

Insecure UC Browser 'Feature' Lets Hackers Hijack Android Phones Remotely
https://thehackernews.com/2019/03/uc-browser-android-hacking.html

Doctor Webによると、UC Browser自体には悪意のあるソフトウェアなどは埋め込まれていないものの、未検証のモジュールを読み込んで起動する機能が備わっているとのこと。UC Browserは暗号化されたHTTPSプロトコルではなく、HTTPプロトコルを介してプラグインをダウンロードしているため、第三者による悪意のあるモジュールをダウンロードして起動できます。

このため、自分のスマートフォンが乗っ取られて第三者への攻撃の足場にされる中間者攻撃(Man in the Middle：MITM)の対象になったり、トロイの木馬などをダウンロードして実行しまったり、保存されているユーザー名・パスワード・クレジットカードの番号などが盗まれたりする危険性もあるとのこと。

By Rawpixel

Doctor Webが開発会社のUCWebに今回の脆弱性を報告したところ、UCWebは回答を拒否。UC Browserは「ダウンロードされたアプリケーションは自身のコードを改変したり、第三者からのソフトウェアをダウンロードしてはいけない」というGoogle Playの規約に違反しているため、Doctor WebはGoogleに問題を報告したそうです。記事掲載時点では、UC BrowserはGoogle Play上からダウンロードが可能でした。