Sử dụng UC Browser có thể khiến bạn bị tấn công
Mới đây, một nhà nghiên cứu bảo mật đã phát hiện lỗ hổng nguy hiểm trên UC Browser và UC Browser Mini, ảnh hưởng đến hơn nửa tỉ người dùng trên toàn thế giới.
Hai ứng dụng UC Browser và UC Browser Mini được phát triển bởi UCWeb (thuộc sở hữu của Alibaba), đây là một trong những trình duyệt di động phổ biến nhất hiện nay, đặc biệt là ở Trung Quốc và Ấn Độ với hơn nửa tỉ người dùng.
Theo nhà nghiên cứu bảo mật Arif Khan, lỗ hổng này nằm trong một tính năng được thiết kế nhằm cải thiện trải nghiệm tìm kiếm của người dùng. Kẻ tấn công có thể lợi dụng lỗ hổng này để kiểm soát liên kết (URL) hiển thị trên thanh địa chỉ, dụ người dùng truy cập vào các trang web độc hại.
Lỗ hổng này ảnh hưởng đến phiên bản UC Browser mới nhất 12.11.2.1184 và UC Browser Mini phiên bản 12.10.1.1192, hiện đang có hơn 600 triệu người dùng cài đặt trên Google Play.
Khi người dùng tìm kiếm thứ gì đó trên "google.com" bằng UC Browser, trình duyệt sẽ tự động xóa tên miền khỏi thanh địa chỉ và chỉ hiển thị chuỗi truy vấn tìm kiếm. Lợi dụng điều này, kẻ gian có thể giả mạo liên kết trang (URL) để lừa người dùng truy cập vào các trang web độc hại. Bạn đọc quan tâm có thể theo dõi video thử nghiệm tại địa chỉ:
Trước đó không lâu, Khan cũng đã phát hiện một lỗ hổng tương tự trên trình duyệt mặc định của Xiaomi (Mi Browser) và Mint (trình duyệt do Xiaomi phát triển).
Không giống như lỗ hổng trên trình duyệt Xiaomi, lỗ hổng trên UC Browser không cho phép kẻ tấn công giả mạo SSL, đây là yếu tố cơ bản và quan trọng mà người dùng có thể xác định xem đây là một trang web giả mạo hay hợp pháp.
Khan đã báo cáo lỗ hổng bảo mật cho nhóm bảo mật của UC Browser hơn một tuần trước, tuy nhiên, công ty vẫn chưa giải quyết vấn đề.
Cách đây một tháng trước, UC Browser cũng từng dính lỗ hổng nghiêm trọng, cho phép tin tặc lợi dụng để thực hiện các tấn công từ xa, thực thi mã tùy ý trên thiết bị Android của người dùng.
Theo một báo cáo vừa được công bố bởi công ty bảo mật Dr. Web, từ năm 2016, phiên bản UC Browser dành cho các thiết bị Android đã được tích hợp một tính năng “ẩn”, cho phép công ty tải xuống các thư viện, module mới từ máy chủ và cài đặt chúng lên thiết bị di động của người dùng.
Trong thời gian chờ nhà phát triển sửa lỗi và tung ra bản cập nhật mới, bạn có thể chuyển sang sử dụng Google Chrome, Firefox, Brave,… hoặc một số trình duyệt khác để đảm bảo an toàn.
Nếu đang sử dụng UC Browser trên điện thoại, bạn hãy xem xét đến việc gỡ cài đặt ứng dụng ngay lập tức để tránh...