人気ブラウザ「UC Browser」に脆弱性--マルウェア配布に利用されるおそれ

　ロシアのセキュリティ企業Doctor Webの研究者によると、阿里巴巴（アリババ）傘下のUCWebが提供する人気ブラウザ「UC Browser」には設計上の不具合があり、攻撃者にこれを悪用されると、同社のサーバからのダウンロードをインターネット上の任意のサーバ上のファイルにすり替えられてしまうおそれがあるという。

　Doctor Webは同モバイルブラウザについて警告を発した。Googleの公式ストア「Google Play」のサーバを経由せずに追加のソフトウェアライブラリをダウンロードすることが可能だからだ

　Doctor Webの研究者は、「これはGoogleの規則に違反しており、深刻な脅威となっている。なぜなら、悪意あるコードを含むあらゆるコードを『Android』デバイスにダウンロードすることが可能になるからだ」と警告している。

　UC Browserは、インドで大規模なユーザーベースを獲得しており（Google Playストアから5億回以上ダウンロードされている）、サードパーティーのアプリストアからも入手可能だ。

　Doctor Webの研究者によると、現在のところ、UC Browserは「潜在的な脅威」であるという。とはいえ、その設計のせいで、すべてのユーザーがマルウェアの危険にさらされるおそれがあると研究者は警告する。

　「サイバー犯罪者が同ブラウザのコマンド＆コントロール（C＆C）サーバを乗っ取った場合、内蔵のアップデート機能を使って、マルウェアを含むあらゆる実行可能コードを配布することが可能になる。さらに、同ブラウザは中間者（MITM）攻撃を受けるおそれもある」（Dr Web）

　MITMの脅威が生じるのは、UCWebがセキュリティで保護されていないHTTP接続経由で同ブラウザにアップデートを配信するというセキュリティ上の大失敗を犯したからだ。

　「新しいプラグインをダウンロードするために、同ブラウザはC＆Cサーバに要求を送信し、応答としてファイルへのリンクを受信する。同プログラムはセキュリティで保護されていないチャネル（暗号化されたHTTPSではなくHTTPプロトコル）を通してサーバと通信するので、サイバー犯罪者はアプリケーションからの要求を奪うことができる」（Doctor Web）

　「サイバー犯罪者はコマンドを、異なるアドレスを含むものに置き換えることができる。これにより、同ブラウザは自らのC＆Cサーバではなく、不正なサーバから新しいモジュールをダウンロードするようになる。UC Browserは未署名のプラグインを受け入れるので、不正なモジュールを検証せずに起動してしまう」（同）

　Doctor Webによると、UCWebの「UC Browser Mini」アプリもユーザーを不正なアップデートの危険にさらすおそれがあるが、UC Browserと同じようなMITMの攻撃は有効ではないという。UC Browser MiniはGoogle Playストアから1億回ダウンロードされている。

　Doctor Webによると、両ブラウザの開発元にこの問題を通知したが、開発元はコメントを拒んだという。Doctor WebはGoogleにも通知したが、本稿掲載時点でいずれもGoogle Playストアに掲載されたままだ。