miércoles, 27 de marzo de 2019

Este navegador para Android ha puesto en peligro la seguridad de sus más de 600 millones de usuarios


Además de los conocidos Google Chrome y Firefox, dentro de la tienda de aplicaciones de Android, la Play Store, podemos encontrar una gran variedad de navegadores web alternativos, cada uno de ellos con unas funciones y características propias que buscan diferenciarlo de los demás. Uno de los navegadores web alternativos más populares entre los usuarios de Android es UC Browser, un navegador que cuenta con más de 600 millones de descargas y que ha estado poniendo en peligro la seguridad de todos los usuarios.

Una de las características especiales de UC Browser es la posibilidad de descargar e instalar módulos extra desde sus propios servidores mediante una conexión remota sin obligar al usuario a pasar por la Play Store, teniendo así mayor libertad a la hora de distribuir determinados módulos que podrían estar mal vistos para Google.

Esto no solo es una violación de los términos de uso de la Play Store de Android, quien deja claro que las aplicaciones no pueden modificarse ni actualizarse a si mismas sin pasar por los servidores de Google, sino que, además, a causa de una mala programación de esta característica, todos los usuarios han quedado expuestos a ataques MiTM.


Dr. Web ha descubierto esta función, y su mala seguridad, en UC Browser


Esta característica estaba oculta para Google (lo que demuestra que no se molestan en comprobar las aplicaciones de su tienda) y para los usuarios. Ha sido la empresa de seguridad Dr. Web la que ha descubierto esta función en el popular navegador de Android y quien ha demostrado su fallo de seguridad.

Los responsables de UC Browser cuentan con un servidor “no oficial” que puede enviar actualizaciones y nuevos módulos en segundo plano a todos los usuarios que tengan instalado este navegador en sus dispositivos.

Tal como han podido demostrar los investigadores de seguridad de Dr. Web, esta característica está mal implementada y no cuenta con una buena seguridad, lo que puede permitir a un pirata informático interceptar las conexiones y distribuir código malicioso directamente a los smartphones de los usuarios, código que se instalaría a través del navegador infectando Android sin llamar la atención.

Los investigadores de Dr. Web han publicado un vídeo donde demuestran cómo funciona esta vulnerabilidad:


Este fallo de seguridad afecta por igual a la versión normal de UC Browser y a la versión Mini para Android. Y, por si fuera poco, UC Browser para Windows también es vulnerable, ya que también cuenta con la función para descargar módulos automáticamente desde el propio navegador.

Cómo protegernos de este fallo de seguridad en UC Browser


Por el momento, los responsables de UC Browser no han hecho declaraciones sobre esta funcionalidad oculta en su navegador y su inseguridad. Google, por su parte, tampoco ha hecho declaraciones sobre la violación de términos de uso de la Play Store en él, aunque esperamos que sea igual de justo con todos los desarrolladores y que una violación tan grave y directa tenga consecuencias, como mínimo, de la eliminación de la aplicación de la Play Store. Por mucho menos, otros desarrolladores han tenido sanciones mayores.

Si tenemos instalado este navegador, te recomendamos desinstalar UC Browser, ya que no hay una solución posible y, aunque no hay pruebas de que el fallo de seguridad haya podido ser explotado por piratas informáticos, tampoco las hay de lo contrario.

Mejor prevenir y usar otro navegador cualquiera que cumpla con las políticas de uso y seguridad de Android que poner en peligro nuestra seguridad por un par de características innecesarias.