As vulnerabilidades do navegador UC colocam em risco milhões de usuários do Android

Se você é uma das milhões de pessoas que usam o navegador UC do Alibaba, pode querer parar por enquanto. Pesquisadores do Dr. Web Anti-Virus descobriram que o UC Browser é capaz de ignorar os servidores do Google Play para baixar módulos e bibliotecas de software adicionais, permitindo potencialmente o download de códigos maliciosos. A preocupação não é necessariamente que a UCWeb, de propriedade do Alibaba, carregue malware nos dispositivos dos usuários, mas a maneira como protege seu servidor de comando deixa a porta aberta para que outras pessoas façam exatamente isso.

Há vários problemas na maneira como o UC Browser recebe essas bibliotecas adicionais. Para iniciantes, ignorar os servidores e o processo de verificação do Google é obviamente uma violação das regras do Google Play, que proíbem que os aplicativos hospedados no serviço baixem novos componentes de outras fontes que não a Play Store. O Dr. Web ressalta que o UC Browser usa esse método de entrega de software desde 2016, o que é particularmente preocupante quando você descobre que o servidor de comando e controle que o UC Browser usa envia software por HTTP.

É aqui que entra o verdadeiro problema: como o UC Browser está fazendo o download de software pelo HTTP não criptografado, em vez do HTTPS mais seguro, que abre o potencial para ataques intermediários. É possível que os hackers possam interceptar essas solicitações de software do UC Browser e usá-lo para enviar malware para o aplicativo, deixando os usuários em risco de serem vítimas de golpes de phishing ou coisa pior.

O UC Browser também executará o que for baixado, pois não verifica novos plug-ins e os executará mesmo se não tiverem assinado. Com 500 milhões de downloads, essa vulnerabilidade está definitivamente colocando muitas pessoas em risco. O Dr. Web observa em seu relatório que o UC Browser Mini – uma alternativa ao UC Browser padrão que possui mais de 100 milhões de downloads – também é suscetível ao mesmo tipo de ataques.

Web diz que relatou essas vulnerabilidades ao autor do aplicativo e ao Google, mas no momento em que publicou seu relatório (e, de fato, no momento da redação deste artigo), os dois aplicativos ainda estavam disponíveis na Google Play Store. Enquanto esperamos que o Alibaba responda a este relatório, provavelmente é uma boa ideia desinstalar o UC Browser, para que você não se arrisque com os ataques intermediários detalhados acima.