Android qurilmalari uchun UC Browser va UC Browser Mini URL soxtalashtirishga moyil.
Zaiflik zararli domenlarni ishonchli domen sifatida uzatish imkonini beradi, ammo ishlab chiquvchi uni tuzatishdan bosh tortadi.
Android qurilmalari uchun 600 million martadan ortiq yuklab olingan UC Browser va UC Browser Mini ning so’nggi versiyalari URL soxtalashtirishga moyil. Zaiflikni xavfsizlik bo’yicha tadqiqotchi Arif Xon aniqladi, u o’tgan oy UCWeb dasturchisiga xabar berdi. URL soxtalashtirish – bu tajovuzkorning brauzer manzil satridagi URLni o’zgartirish qobiliyatiga tayanadigan kiberhujum. Jabrlanuvchi tanish manzilni ko’radi va ishonchli saytga tashrif buyurayotganiga ishonadi, aslida esa ular zararli sahifaga tashrif buyurishadi. Bu sahifalar hisob ma’lumotlarini o’g’irlash uchun mo’ljallangan firibgarlik firibgarliklari bo’lishi mumkin yoki ular qurilmani zararli dasturlar bilan yuqtiradigan zararli reklamalarni o’z ichiga olishi mumkin.
«URL soxtalashtirish eng yomon фишинг hujumidir, chunki manzil satridagi manzil foydalanuvchi tashrif buyurayotgan saytni aniqlashning yagona yo’li», deb ta’kidladi Xon.
UC Browser va UC Browser Mini’dagi zaiflik tajovuzkorlarga bir domenni boshqasi sifatida ko‘rsatishga imkon beradi. Masalan, blogspot.com foydalanuvchini www[.]google[.]com[.]blogspot.com[/?q=]www.facebook.com saytiga kirishga aldash orqali facebook.com sifatida ko‘rsatilishi mumkin.
Tadqiqotchi tushuntirganidek, hujum brauzerlarning muntazam ifodalarni yetarlicha tekshirmagani tufayli mumkin. «Ular foydalanuvchi tajribasini yaxshilashga harakat qilmoqdalar, shuning uchun foydalanuvchi Google kabi qidiruv tizimida biror narsa qidirganda, manzil satrida faqat qidiruv so’rovi ko’rsatiladi», deb ta’kidladi Xon. Uning tushuntirishicha, brauzerlar faqat foydalanuvchi tashrif buyurayotgan URL manzili www[.]google[.]com bilan boshlanishini tekshiradi. Natijada, tajovuzkor muntazam ifodalarni tekshirishni chetlab o’tib, manzil satridagi manzilni soxtalashtirishi mumkin.
Tadqiqotchining fikricha, foydalanuvchilarni himoya qilish uchun UC Browser va UC Browser Mini ishlab chiquvchilari foydalanuvchi tajribasiga bunday «yaxshilanishlar»dan voz kechishlari va haqiqiy domenni namoyish qilishlari kerak.
Zaiflik UC Browser 12.11.2.1184 va UC Browser Mini 12.10.1.1192 versiyalarida aniqlandi (eski versiyalari zaif emas). Xon bu muammo haqida ishlab chiquvchiga 30-aprel kuni xabar bergan, ammo 8-may holatiga ko’ra, u hali ham tuzatilmagan. Bundan tashqari, tadqiqotchi o’zining zaiflik haqidagi hisobotini UCWebga taqdim etganida, unga «E’tiborsiz qoldirilgan» maqomi berilgan.
