El navegador UC Browser cazado vulnerando las normas de la Google Play
Uc Browser, uno de los navegadores más conocidos, vulnera las normas de la Google Play: puede descargar e instalar código de servidores externos.
27 marzo, 2019 14:17A pesar de que la Google Play es férrea en las obligaciones que aplica a los desarrolladores, con imposiciones cada vez más restrictivas, son muchas las apps que se arriesgan a ser expulsadas de la tienda al no cumplir todas las normas. Una de ellas es sumamente explícita: el contenido añadido de las apps debe descargarse desde la propia Play Store, algo que incumple abiertamente UC Browser.
Este navegador es sumamente conocido en Android: posee la friolera de más de 500 millones de descargas con una media de 4,5 estrellas en casi 20 millones de valoraciones. Con los números que presenta la aplicación cualquiera pensaría que no se la juega a la hora de cumplir con sus obligaciones, pero, según descubrieron los investigadores de Dr Web, UC Browser puede descargar código de servidores externos a la Google Play, algo prohibido. Además, ha sido cazado descargando código y actualizando el navegador sin que el usuario lo perciba.
No es la primera vez que UC Browser tiene problemas en la tienda de aplicaciones Android ya que hace unos meses que Google lo retiró de la Play Store para después aparecer de nuevo. No supimos exactamente las causas, pero sí que ahora descubrimos que aquel incidente no escarmentó a los desarrolladores.
UC Browser tiene un sistema de actualización potencialmente peligroso que lleva activo desde 2016
La finalidad de mantener un sistema de descarga ajeno a la Google Play Store es, al menos en principio, actualizar los módulos del navegador e incluir nuevas funciones sin necesidad de actualizar la aplicación por completo. El problema es que no existe control en lo que descarga UC Browser ya que, como demostraron en Dr Web, cualquiera podría interceptar los archivos e instalar malware a distancia sin que el usuario se diese cuenta.
Como añadido, el navegador no solo tiene la habilidad de acceder a descargas que vulneran las normas de la Google Play Store, también realiza el contacto con los servidores utilizando conexiones inseguras. En lugar de utilizar el protocolo HTTPS usa el HTTP; dejando expuestas las comunicaciones a cualquiera que desee interceptar los datos que intercambia UC Browser con su servidor.
Desde Dr Web se pusieron en contacto con los desarrolladores de UC Browser sin recibir ningún tipo de información con respecto a los requerimientos. También se comunicaron con Google, pero, a fecha actual, el navegador sigue intacto en la Play Store. No solo UC Browser, también su versión reducida: UC Browser Mini. El navegador compacto introdujo la posibilidad de actualizar los módulos internos sin pasar por la Google Play en 2017.