logo

人気ブラウザ「UC Browser」に脆弱性--マルウェア配布に利用されるおそれ

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部2019年03月28日 11時21分
  • このエントリーをはてなブックマークに追加

 ロシアのセキュリティ企業Doctor Webの研究者によると、阿里巴巴(アリババ)傘下のUCWebが提供する人気ブラウザ「UC Browser」には設計上の不具合があり、攻撃者にこれを悪用されると、同社のサーバからのダウンロードをインターネット上の任意のサーバ上のファイルにすり替えられてしまうおそれがあるという。

 Doctor Webは同モバイルブラウザについて警告を発した。Googleの公式ストア「Google Play」のサーバを経由せずに追加のソフトウェアライブラリをダウンロードすることが可能だからだ

 Doctor Webの研究者は、「これはGoogleの規則に違反しており、深刻な脅威となっている。なぜなら、悪意あるコードを含むあらゆるコードを『Android』デバイスにダウンロードすることが可能になるからだ」と警告している。

 UC Browserは、インドで大規模なユーザーベースを獲得しており(Google Playストアから5億回以上ダウンロードされている)、サードパーティーのアプリストアからも入手可能だ。

 Doctor Webの研究者によると、現在のところ、UC Browserは「潜在的な脅威」であるという。とはいえ、その設計のせいで、すべてのユーザーがマルウェアの危険にさらされるおそれがあると研究者は警告する。

 「サイバー犯罪者が同ブラウザのコマンド&コントロール(C&C)サーバを乗っ取った場合、内蔵のアップデート機能を使って、マルウェアを含むあらゆる実行可能コードを配布することが可能になる。さらに、同ブラウザは中間者(MITM)攻撃を受けるおそれもある」(Dr Web)

 MITMの脅威が生じるのは、UCWebがセキュリティで保護されていないHTTP接続経由で同ブラウザにアップデートを配信するというセキュリティ上の大失敗を犯したからだ。

 「新しいプラグインをダウンロードするために、同ブラウザはC&Cサーバに要求を送信し、応答としてファイルへのリンクを受信する。同プログラムはセキュリティで保護されていないチャネル(暗号化されたHTTPSではなくHTTPプロトコル)を通してサーバと通信するので、サイバー犯罪者はアプリケーションからの要求を奪うことができる」(Doctor Web)

 「サイバー犯罪者はコマンドを、異なるアドレスを含むものに置き換えることができる。これにより、同ブラウザは自らのC&Cサーバではなく、不正なサーバから新しいモジュールをダウンロードするようになる。UC Browserは未署名のプラグインを受け入れるので、不正なモジュールを検証せずに起動してしまう」(同)

 Doctor Webによると、UCWebの「UC Browser Mini」アプリもユーザーを不正なアップデートの危険にさらすおそれがあるが、UC Browserと同じようなMITMの攻撃は有効ではないという。UC Browser MiniはGoogle Playストアから1億回ダウンロードされている。

 Doctor Webによると、両ブラウザの開発元にこの問題を通知したが、開発元はコメントを拒んだという。Doctor WebはGoogleにも通知したが、本稿掲載時点でいずれもGoogle Playストアに掲載されたままだ。


UC Browserに対するMITM攻撃のデモ
提供:Doctor Web/YouTube

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]