Versi terbaru aplikasi UC Browser Mini dan UC Browser untuk Android rentan terhadap serangan spoofing URL, yang mana saat ini total lebih dari 600 juta pengguna yang menginstal seperti yang dijelaskan oleh peneliti keamanan Arif Khan yang menemukan kelemahannya dan melaporkannya ke tim keamanan aplikasi.
Serangan spoofing URL didasarkan pada kemampuan penyerang untuk mengubah URL yang ditampilkan di bilah alamat browser web untuk mengelabui target mereka dengan berpikir bahwa situs web yang dimuat dikendalikan oleh pihak tepercaya.
Namun, seperti kerentanan spoofing URL lainnya, situs yang ditampilkan dengan memanfaatkan kerentanan spoofing URL ini sebenarnya dikendalikan oleh penjahat di balik serangan itu.
Target yang tidak sadar dapat mengarah ke domain yang penjahat kontrol dan menyamarkannya sebagai situs web berprofil tinggi yang memungkinkan penyerang potensial mencuri informasi korban mereka menggunakan halaman phishing atau untuk menyebarkan malware.
Unpatched URL Address Bar Spoofing Vulnerability affecting UC Browser and UC Browser Mini latest versions, 12.11.2.1184 and 12.10.1.1192
Payload:
www[.]google[.]com.attacker.domain/?q=www.facebook[.]comWriteup: https://t.co/TCl4GZlqw6
UC Browser PoC: pic.twitter.com/9FEvs8Gna8
— Arif Khan (@payloadartist) May 8, 2019
Menurut peneliti, “Pada dasarnya, pengguna hanya memeriksa apakah URL yang dikunjungi pengguna dimulai dengan www[.]google[.]com, sebagai akibatnya, penyerang dapat mem-bypass cek/pengungkitan regex ini untuk menghapus host dan menipu melalui bilah alamat URL.”
“Saya merasa layak menyebutkan bahwa beberapa versi UC Browser lama dan lainnya masih tidak rentan terhadap hal ini, yang membuat saya bingung, yang menunjukkan fakta bahwa fitur baru mungkin telah ditambahkan ke browser ini kapan saja yang menyebabkan hal ini menjadi masalah,” juga kata Khan.
Laporan spoofing URL UC Browser diabaikan
Khan juga mempublikasi dua video proof-of-concept (PoC) yang menunjukkan bagaimana calon penyerang dapat memanfaatkan kelemahan bilah alamat untuk mengarahkan korban potensial ke situs phishing atau halaman arahan malvertising.
Masalah ini ditemukan dalam versi UC Browser 12.11.2.1184 dan UC Browser Mini 12.10.1.1192. Pada saat publikasi ini, pengembang aplikasi UCWeb belum mengeluarkan perbaikan meskipun masalah tersebut diungkapkan secara bertanggung jawab oleh Khan kepada tim keamanan UCWeb pada 30 April 2019.
Selain itu, setelah pengungkapan kerentanan terdaftar dalam sistem UCWeb, tim keamanan perusahaan menetapkan status “Diabaikan” untuk laporan tersebut.
Selain UC Browser, kemarin-kemarin kerentanan spoofing URL juga dikabarkan terdapat dalam dua browser Xiaomi.
