ロシアのセキュリティ企業Doctor Webの研究者によると、阿里巴巴(アリババ)傘下のUCWebが提供する人気ブラウザ「UC Browser」には設計上の不具合があり、攻撃者にこれを悪用されると、同社のサーバからのダウンロードをインターネット上の任意のサーバ上のファイルにすり替えられてしまうおそれがあるという。
Doctor Webは同モバイルブラウザについて警告を発した。Googleの公式ストア「Google Play」のサーバを経由せずに追加のソフトウェアライブラリをダウンロードすることが可能だからだ
Doctor Webの研究者は、「これはGoogleの規則に違反しており、深刻な脅威となっている。なぜなら、悪意あるコードを含むあらゆるコードを『Android』デバイスにダウンロードすることが可能になるからだ」と警告している。
UC Browserは、インドで大規模なユーザーベースを獲得しており(Google Playストアから5億回以上ダウンロードされている)、サードパーティーのアプリストアからも入手可能だ。
Doctor Webの研究者によると、現在のところ、UC Browserは「潜在的な脅威」であるという。とはいえ、その設計のせいで、すべてのユーザーがマルウェアの危険にさらされるおそれがあると研究者は警告する。
「サイバー犯罪者が同ブラウザのコマンド&コントロール(C&C)サーバを乗っ取った場合、内蔵のアップデート機能を使って、マルウェアを含むあらゆる実行可能コードを配布することが可能になる。さらに、同ブラウザは中間者(MITM)攻撃を受けるおそれもある」(Dr Web)
MITMの脅威が生じるのは、UCWebがセキュリティで保護されていないHTTP接続経由で同ブラウザにアップデートを配信するというセキュリティ上の大失敗を犯したからだ。
「新しいプラグインをダウンロードするために、同ブラウザはC&Cサーバに要求を送信し、応答としてファイルへのリンクを受信する。同プログラムはセキュリティで保護されていないチャネル(暗号化されたHTTPSではなくHTTPプロトコル)を通してサーバと通信するので、サイバー犯罪者はアプリケーションからの要求を奪うことができる」(Doctor Web)
「サイバー犯罪者はコマンドを、異なるアドレスを含むものに置き換えることができる。これにより、同ブラウザは自らのC&Cサーバではなく、不正なサーバから新しいモジュールをダウンロードするようになる。UC Browserは未署名のプラグインを受け入れるので、不正なモジュールを検証せずに起動してしまう」(同)
Doctor Webによると、UCWebの「UC Browser Mini」アプリもユーザーを不正なアップデートの危険にさらすおそれがあるが、UC Browserと同じようなMITMの攻撃は有効ではないという。UC Browser MiniはGoogle Playストアから1億回ダウンロードされている。
Doctor Webによると、両ブラウザの開発元にこの問題を通知したが、開発元はコメントを拒んだという。Doctor WebはGoogleにも通知したが、本稿掲載時点でいずれもGoogle Playストアに掲載されたままだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
「ストリートビュー」が捉えたクレイジーすぎる光景38連発 
シャオミ初のEV「SU7」、MWCに登場 
注目集めた指輪型にEV、「主役」はスマホからAIへ--MWC Barcelona 2024振り返り、日本企業は存在感高められるか