Nội dung
Một bug hunter (thợ săn lỗi bảo mật) đã phát hiện và tiết lộ công khai chi tiết về một lỗ hổng chưa được vá giả mạo thanh địa chỉ trình duyệt đang ảnh hưởng đến các ứng dụng UC Browser và UC Browser Mini phổ biến của Trung Quốc cho Android.
Được phát triển bởi UCWebthuộc sở hữu của Alibaba, UC Browser là một trong những trình duyệt di động phổbiến nhất hiện nay, đặc biệt là ở Trung Quốc và Ấn Độ với hơn nửa tỷ người dùng trên toàn thế giới.
Lỗ hổng giả mạo Thanh địa chỉ URL
Nhà nghiên cứu chi tiết bảo mật Arif Khan cho biết lỗ hổng này nằm ở lối vào Giao diện người dùng (User Interface) trên cả hai trình duyệt, xử lý cùng một tính năng tích hợp đặc biệt vốn được thiết kế để cải thiện trải nghiệm tìm kiếm của người dùng Google.
Lỗ hổng này chưa được chỉđịnh bất kỳ số nhận dạng CVE nào. Lỗ hổng có thể cho phép kẻ tấn công kiểm soátchuỗi URL hiển thị trên thanh địa chỉ, từ đó khiến cho một trang web độc hại hiệnthị như một trang web hợp pháp.
Theo Google Play Store thì lỗhổng này ảnh hưởng đến UC Browser phiên bản mới nhất 12.11.2.1184 – hiện có hơn 500 triệu người dùng và UC Browser Miniphiên bản 12.10.1.1192 với 100 triệu người dùng.
Mặc dù lỗ hổng này tương tự như lỗ hổng Khan đã phát hiện hồi tháng trước trong trình duyệt MI được cài đặt sẵn trên điện thoại thông minh Xiaomi và trình duyệt Mint, nhưng có một điểm khác biệt là các trang lừa đảo chứa lỗ hổng mới được phát hiện trong UC Browser vẫn để lại một vài chỉ số mà người dùng cảnh giác có thể phát hiện ra ngay.
Cách tin tặc sử dụng lỗ hổng để tấn công
Khi người dùng tìm kiếmthông tin trên “google.com” bằng UC Browsers, trình duyệt sẽ tự độngxóa tên miền khỏi thanh địa chỉ và chỉ viết lại để hiển thị chuỗi truy vấn tìmkiếm cho người dùng.
Arif nhận thấy rằng logickhớp mẫu được sử dụng bởi UC Browsers là không đủ và có thể bị những kẻ tấncông lạm dụng bằng cách tạo tên miền phụ trên tên miền riêng của chúng, vídụ như “www.google.com.phishing-site.com?q=www.facebook.com,”để lừa các trình duyệt nghĩ rằng trang web đã cho là” www.google.com“và truy vấn tìm kiếm là” www.facebook.com. “
Lỗ hổng giả mạo Thanh địachỉ URL này có thể được sử dụng để dễ dàng lừa người dùng UC Browser nghĩ rằnghọ đang truy cập một trang web đáng tin cậy trong khi thực tế đó là mộttrang web lừa đảo.
Arif giải thích trên blogcá nhân rằng thực tế, các quy tắc Regex (Regular Expressions) của họ chỉ khớpvới chuỗi URL hoặc một URL bất kỳ màngười dùng đang cố truy cập vào mẫu danh sách trắng (whitelist pattern) nhưngchỉ để kiểm tra xem URL có bắt đầu bằng một chuỗi như www.google.com. Việcnày cho phép những kẻ tấn công bỏ qua kiểm tra Regex bằng một cách đơngiản là sử dụng tên miền phụ trên tên miền của chúng nhưwww.google.com.vn/blogspot.com và đính kèm tên miền đích mà chúng muốn đặt vàophần truy vấn của tên miền phụ đó, ví dụ như ?q = www.facebook.com.
Không giống như lỗ hổng củatrình duyệt Xiaomi, lỗ hổng UC Browers không cho phép kẻ tấn công giả mạo chỉsố SSL. Đây là yếu tố cơ bản và quan trọng mà người dùng có thể kiểm trachéo để xác định xem một trang web là giả mạo hay hợp pháp.
UC Brower chưa có phản hồi thỏa đáng về lỗ hổng
The Hacker News đã tự xácminh lỗ hổng và có thể xác nhận rằng nó hoạt động trên các phiên bản mới nhấtcủa cả hai trình duyệt web có sẵn tại thời điểm viết.
Điều thú vị ở đây là nhànghiên cứu cũng đề cập rằng một số phiên bản cũ và các phiên bản khác của UCBrowser và UC Browser Mini không bị ảnh hưởng bởi lỗ hổng giả mạo Thanh địa chỉURL này. Điều này cho thấy một tính năng mới có thể đã được thêm vào trình duyệtlà nguyên nhân gây ra sự cố này.
Khan đã báo cáo lỗ hổng cho nhóm bảo mật của UC Browser hơn một tuần trước nhưng công ty này vẫn hiện vẫn chưa giải quyết vấn đề, thay vào đó chỉ đơn giản là gắn trạng thái “Bỏ qua” lỗ hổng trên báo cáo của nhà nghiên cứu. Trong tháng trước thì các báo chí cũng đã từng đồng loạt đưa tin về UC Brower khi các nhà nghiên cứu tìm thấy một tính năng “ẩn” trong ứng dụng Android có thể bị tin tặc khai thác để tải xuống từ xa và thực thi mã độc trên điện thoại Android rồi chiếm quyền điều khiển thiết bị.
THN