Schwerwiegender Bug im UC Browser gefährdet mehr als 500 Millionen Nutzer

Der Browser bezieht zusätzliche Software-Bibliotheken von eigenen Update-Servern. Das ist laut den Google-Richtlinien verboten. Zudem kommuniziert er unverschlüsselt mit den eigenen Servern. Der Anbieter UCWeb ignoriert das Problem offenbar.

Im von der Alibaba-Tochter UCWeb entwickelten UC Browser steckt offenbar ein schwerwiegender Design-Fehler. Er erlaubt es Angreifern, Updates für den Browser zu manipulieren, wie Forscher des russischen Sicherheitsanbieters Dr. Web herausgefunden haben. Davon betroffen sind alleine mehr als 500 Millionen Nutzer, die den Browser über den Google Play Store heruntergeladen haben.

Bug entdeckt (Bild: Shutterstock)Dr. Web kritisiert, dass der UC Browser zusätzliche Software-Bibliotheken von eigenen Servern bezieht, statt sie von Googles offiziellen Play-Store-Servern abzurufen. „Das verstößt gegen Googles Regeln und ist eine ernste Sicherheitsbedrohung, weil es ermöglicht, dass beliebiger Code, also auch Schadcode, auf Android-Geräte gelangt“, warnen die Forscher von Dr. Web.

Besonders heikel ist ihnen zufolge, dass der UC Browser Updates über eine unverschlüsselte HTTP-Verbindung erhält, was Man-in-the-Middle-Angriffe (MITM) begünstigt. „Falls Cyberkriminelle die Kontrolle über die Befehlsserver des Browsers erhalten, können sie die eingebaute Update-Funktion nutzen, um beliebigen ausführbaren Code zu verteilen, darunter Malware. Außerdem ist der Browser anfällig für MITM-Angriffe“, so die Forscher weiter.

Um beispielsweise eines neues Plug-in herunterzuladen sende der Browser eine Anfrage an seinen Befehlsserver und erhalte als Antwort eine Link zu einer Datei. Da die Kommunikation unverschlüsselt erfolge, könnten Cyberkriminelle die Anfragen abfangen und die Adressen ändern. „Das bringt den Browser dazu, neue Module von gefährlichen Servern statt vom eigenen Befehlsserver zu laden. Da der UC Browser mit unsignierten Plug-ins arbeitet, wird er schädliche Module ohne jegliche Prüfung ausführen.

Von dem Problem ist nicht nur der UC Browser, sondern auch die App UC Browser Mini betroffen, die weitere 100 Millionen Installationen im Play Store zählt. Sie soll jedoch nicht anfällig für MITM-Angriffe sein – die Manipulation von Update-Dateien soll aber trotzdem möglich sein. Bleeping Computer will zudem herausgefunden haben, dass die Desktopversion des UC Browsers MITM-Angriffe erlaubt und damit das Einschleusen gefährlicher Erweiterungen.

Laut Dr. Web haben die Entwickler von UCWeb bisher die Sicherheitswarnungen ignoriert. Deswegen sei inzwischen auch Google über die Anfälligkeiten informiert worden. Trotzdem sei der Browser weiterhin im Play Store erhältlich.

HIGHLIGHT

Die drei wichtigsten Faktoren bei der Modernisierung von SAN

In diesem E-Book erläutert NetApp die drei wichtigsten Faktoren bei der Modernisierung von SAN: Performance, vereinfachte Prozesse und eine zukunftssichere Architektur, die erweitert werden und dadurch auch künftige Anforderungen erfüllen kann. Jetzt herunterladen!

Themenseiten: Alibaba, Android, Browser, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Schwerwiegender Bug im UC Browser gefährdet mehr als 500 Millionen Nutzer

Kommentar hinzufügen
  • Am 29. März 2019 um 10:31 von Hans-Ulrich Wyssmann

    Was erwartet ihr eigentlich von der Chinesischen Regierung??? Das sie brav werden und Demokratie, Meinungsfreiheit usw. ernst nehmen??? Ach Alibaba ist nicht von der chinesischen Regierung geduldet??? Für etwas müssen sie ja diese Löcher einbauen oder? Nokia…. 2021 plus minus ist das neue 1984 im chin. Raum…Gleichgeschaltet, abgeschaltet,Händy-Nektar….

  • Am 30. März 2019 um 12:28 von Enduser

    Was mich an all solchen Meldungen massiv stört, sind diese unvalidierten Szenarien.

    „Falls Cyberkriminelle die Kontrolle über die Befehlsserver des Browsers erhalten, können sie die eingebaute Update-Funktion nutzen…“
    Ja, falls Diebe die Kontrolle über mein Portemonnaie bekommen, können sie mein Geld ausgeben..
    Was soll uns das sagen? Wie wahrscheinlich ist so ein Szenario? Merkt der Betreiber des Servers das nicht? etc. etc.
    Mich nervt dieses „Forscher haben.. “ gesülze mit völlig abstrusen Szenarien. Vorher war die Horrormeldung meist sowas wie „sie müssen „nur“ auf eine gefälschte Website gelenkt werden, anklicken dass sie auf ihren Menschenverstand verzichten, erlauben dass Jeder auf mein Konto zugreifen darf und nur noch dazu gebracht werden muss, die Zugangsdaten zur Verfügung zu stellen…ja dann sind aber mindestens eine Milliarde Geräte gefährdet…
    WTF, mal ehrlich , das ist doch lächerlich.
    Es muss doch möglich sein, einem Szenario ein Potential zuzuschreiben mit dem der Verbraucher was anfangen kann. Diese hypothetischen Gefahrensmeldungen helfen keinem.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *