Theo SlashGear, một nhóm nghiên cứu bảo mật và công ty Dr. Web Anti-Virus đã phát hiện UC Browser có khả năng "đi đường vòng" qua máy chủ của Google Play để tải thêm các mô-đun phần mềm và thư viện tập tin, từ đó tạo cơ hội cho mã độc xâm nhập. Đáng lo ngại nhất là cách mà trình duyệt này bảo mật máy chủ điều khiển, được mô tả là chẳng khác gì "lạy ông tôi ở bụi này".
Việc đi vòng qua máy chủ và quy trình xác thực của Google rõ ràng đã vi phạm nguyên tắc của Google Play, vốn ngăn cản các ứng dụng tải thêm tập tin từ những nguồn khác ngoài chợ ứng dụng này. Dr. Web chỉ ra rằng UC Browser đã áp dụng cách thức rủi ro được đề cập từ năm 2016.
UC Browser còn sử dụng giao thức truyền tải không được mã hóa là HTTP, thay vì HTTPS (an toàn hơn), tạo điều kiện cho kẻ xấu thực hiện kiểu tấn công man-in-the-middle. Tin tặc có thể can thiệp vào quá trình truyền tải dữ liệu để tuồn mã độc vào ứng dụng, đẩy người dùng vào kịch bản bị lừa đảo hoặc tệ hơn nữa.
Trình duyệt này sẽ khởi chạy bất cứ thứ gì nó tải xuống, vì không hề có bất kỳ phương thức xác thực tập tin hay plugin nào được áp dụng.
UC Browser đạt hơn 500 triệu lượt tải nên lỗ hổng bảo mật này chắc chắn khiến hàng triệu người dùng gặp rủi ro. Dr. Web cũng lưu ý phiên bản thu gọn của trình duyệt là UC Browser Mini, với hơn 100 triệu lượt tải, cũng có vấn đề tương tự.
Dr. Web đã báo cáo thông tin cho nhà phát triển ứng dụng và Google, nhưng ngay tại thời điểm họ công bố báo cáo thì cả hai ứng dụng trên vẫn còn hiện diện trên Google Play Store. Trong khi chờ đợi phản hồi, Dr. Web khuyên người dùng gỡ bỏ cài đặt UC Browser để phòng tránh rủi ro bị tấn công.
Bình luận (0)