Natuklasan ng Doctor Web ang isang nakatagong kakayahan sa mobile browser ng UC Browser para sa mga Android device na mag-download at magpatakbo ng hindi na-verify na code.
Ang UC Browser browser ay napakapopular. Kaya, ang bilang ng mga pag-download nito mula sa Google Play store ay lumampas sa 500 milyon. Upang gumana sa programa, kinakailangan ang Android 4.0 operating system o mas mataas.
Natuklasan ng mga eksperto mula sa Doctor Web na ang browser ay may nakatagong kakayahang mag-download ng mga pantulong na bahagi mula sa Internet. Ang application ay may kakayahang mag-download ng mga karagdagang software module na lumalampas sa mga server ng Google Play, na lumalabag sa mga panuntunan ng Google. Ang tampok na ito ay maaaring theoretically gamitin ng mga umaatake upang ipamahagi ang malisyosong code.
"Bagaman ang application ay hindi naobserbahan upang ipamahagi ang mga Trojan o hindi gustong mga programa, ang kakayahang mag-download at maglunsad ng mga bago at hindi na-verify na mga module ay nagdudulot ng potensyal na banta. Walang garantiya na ang mga umaatake ay hindi magkakaroon ng access sa mga server ng developer ng browser at gagamitin ang built-in na update function ng browser upang mahawahan ang daan-daang milyong mga Android device,β babala ng Doctor Web.
Ang tampok na ito para sa pag-download ng mga add-on ay naroroon sa UC Browser mula noong hindi bababa sa 2016. Maaari itong magamit upang ayusin ang mga pag-atake ng Man in the Middle sa pamamagitan ng pagharang sa mga kahilingan at pag-spoof sa address ng control server. Higit pang impormasyon tungkol sa problema ay matatagpuan dito.
Pinagmulan: 3dnews.ru