포스팅 내용

국내외 보안동향

안드로이드 UC 브라우저 사용자 수억 명, 또 다시 중간자 공격에 노출 돼

Hundreds of millions of UC Browser Android Users Exposed to MiTM Attacks. Again.


6억명 이상이 사용하는 인기있는 UC 브라우저, UC 브라우저 미니 안드로이드 앱이 보호 되지 않은 채널을 통해 써드파티 서버에서 APK를 다운로드해 중간자 공격에 노출 된 것으로 나타났습니다.


UC 브라우저는 2014년부터 알리바바 그룹의 소유가 된 UCWeb애서 개발했으며, StatCounter에 따르면 전 세계에서 4번째로 인기있는 모바일 브라우저입니다.


Zscaler의 연구원들은 9appsdownloading[.]com 이라는 특정 도메인에서 의심스러운 연결을 발견해 이를 조사하고 있었습니다. 이 요청은 UC 브라우저에서 만들어진 것이었습니다.


추가 조사 결과 연구원들은 UC 브라우저 앱이 안전하지 않은 채널 (HTTPS가 아닌 HTTP)을 통해 추가 APK를 다운로드 하려 시도하는 것을 발견했습니다. 이는 구글 플레이 정책을 위반하는 행위로, 안전하지 않은 채널을 사용할 경우 사용자가 중간자 공격에 노출될 수 있습니다. 이 경우 공격자는 다양한 악성 행위를 위해 타깃 기기에 임의 페이로드를 전달 및 설치할 수 있게 됩니다.


APK를 분석한 결과 이 APK는 9Apps라는 써드파티 앱 스토어에서 찾아볼 수 있었으며, 패키지명은 com.mobile.indiapp 이었습니다.


9Apps앱은 일단 기기에 설치 되면 설치 된 어플리케이션을 스캔 후 해당 써드파티 앱스토어에서 9appsdownloading[.]com 도메인에서 다운로드 된 APK를 통해 추가 앱들을 설치할 수 있습니다.


<출처: https://www.zscaler.com/blogs/research/uc-browser-app-abuses-may-have-exposed-500-million-users>


연구원들은 APK를 외부 스토리지 (/storage/emulated/0)에 APK를 드랍해 적절한 권한이 있는 누군가 APK를 변경할 수 있는 점 또한 지적했습니다.


Zscaler는 지난 8월 13일 구글에 이 문제를 제보했지만, 이에 대한 논의는 9월 25일까지 이루어졌습니다.

구글은 9월 27일 마침내 문제를 인정했으며 UCWeb 측에 “앱을 업데이트하고 정책 위반을 해결할 것”을 요청했습니다. UCWeb은 이 문제를 해결했습니다.


“브라우저 개발자들이 정확히 어떤 목적으로 써드파티 APK를 사용했는지 판단하기에는 너무 이르지만, 사용자들을 위험에 빠트리고 있었다는 점은 분명합니다. 또한 이 브라우저의 다운로드 횟수는 5억 회 이상이기 때문에, 심각한 위협으로 볼 수 있습니다.”


“UC브라우저는 안전하지 않은 채널을 통해 기기에 알 수 없는 앱을 다운로드 하기 때문에, 이 기기는 중간자 공격의 피해를 입을 수 있습니다. 공격자는 중간자 공격을 통해 기기를 스파잉하고 통신에 인터셉트 하거나 이를 변경할 수 있습니다.”



출처 :

https://securityaffairs.co/wordpress/92686/mobile-2/uc-browser-android-mitm.html

https://www.zscaler.com/blogs/research/uc-browser-app-abuses-may-have-exposed-500-million-users


티스토리 방명록 작성
name password homepage