热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

UC浏览器再现漏洞,可让黑客发动网络钓鱼攻击

来源:MottoIN 2019.05.10

一个漏洞猎人发现并公开披露了一个未修补的浏览器地址栏欺骗漏洞的细节,该漏洞影响了流行的中文UC浏览器和UC浏览器Mini版应用程序。

UC浏览器由阿里巴巴旗下的UCWeb开发,在中国和印度是最受欢迎的移动浏览器之一。自从 Symbian 时代开始,UC浏览器就已经成为移动端用户量最大的浏览器之一,此后逐渐发展之Android、iOS及Windows平台。目前在Google Play上UC浏览器安装量超过5亿,而在国内安卓应用市场下载量也超过12亿。

根据安全研究员Arif Khan分享的详细信息,该漏洞存在于两个浏览器上的用户界面处理特殊内置功能的方式上,该功能旨在改善用户的Google搜索体验。

该漏洞尚未分配任何CVE编号,允许攻击者控制地址栏中显示的URL字符串,最终使恶意网站成为某个合法站点。

根据Google Play商店的说法,该漏洞会影响UC浏览器的最新版本12.11.2.1184和UC Browser Mini版本12.10.1.1192——目前用户量分别被超过5亿和1亿

虽然这个漏洞类似于Khan上个月在小米智能手机和Mint浏览器上预装的MI浏览器中发现的漏洞,但利用UC浏览器、新发现的漏洞的网络钓鱼页面仍然留有一些用户可以发现的警示。

当用户使用UC浏览器在“google.com”上搜索某些内容时,浏览器会自动从地址栏中删除该域并重写该域以向用户显示搜索查询字符串。

Arif发现UC浏览器使用的模式匹配逻辑不足,攻击者可以通过在自己的域上创建子域来滥用它们,如www.google.com.phishing-site.com?q=www.facebook.com可以诱骗浏览器认为给定的网站是“www.google.com”,搜索查询的是“www.facebook.com”。

URL地址栏欺骗漏洞可用于轻松欺骗UC浏览器用户认为他们实际在访问的网络钓鱼页面是受信任的网站。

“UC浏览器的正则表达式规则只匹配URL字符串,任何用户尝试访问白名单模式时只检查URL是否以www.google.com等字符串开头的URL可以使攻击者绕过此正则表达式,通过在域名上使用子域名(例如www.google.com.blogspot.com)进行检查,并将目标域名附加到此子域的查询部分,如?q = www.facebook.com,”Arif在一篇博文中解释道。

与小米浏览器漏洞不同,UC浏览器漏洞不允许攻击者欺骗SSL指标,这是用户交叉检查以确定网站真假的最重要的因素。

研究人员还表示,旧版本和其他版本的UC浏览器和UC浏览器Mini不会受到此URL地址栏欺骗漏洞的影响,这表明该漏洞是由于开发人员为了向浏览器添加“新功能”而导致的。

Khan向UC浏览器安全团队报告了此漏洞,但该团队将其报告调整为忽视状态。

漏洞披露报告被忽略

3月下旬,UC浏览器被曝中间人攻击漏洞,允许远程攻击者将恶意模块推送到目标设备,全球多达十几亿设备受到影响。研究人员后来发现桌面端UC浏览器可能同样容易遭受中间人攻击,导致攻击者可以在用户电脑上下载恶意拓展。

 

消息来源:http://www.mottoin.com/detail/3953.html

售前支持

400-161-0866