Целый ряд уязвимостей в мобильных Интернет-браузерах Dolphin Browser и Mercury Browser был обнаружен исследователем безопасности под псевдонимом Rotologix. Использование данных брешей дает возможность удаленно выполнить код.
Согласно данным, имеющимся на сегодняшний день, число пользователей Dolphin насчитывает 100 миллионов человек, а Mercury – 1 миллион. Для сравнения, количество пользователей, которые установили браузер Firefox для Android, достигает 500 миллионов, а в случае с Google Chrome цифры колеблются в районе 5 миллиардов инсталляций.
Rotologix передал имеющуюся у него информацию о брешах разработчикам Интернет-браузеров, которые позже выпустили обновления, устраняющие бреши.
Как утверждает специалист, когда речь идет о Dolphin Browser, функционал загрузки и применения новых тем для браузера может быть модифицирован хакером, имеющим возможность контролировать сетевой трафик. Используя данный функционал, преступник может выполнить код в контексте браузера на устройстве пользователя.
Rotologix отмечает, что, так как в последний раз обновление Dolphin Browser выпустили в июле этого года, брешью затронуты все пользователи Интернет-браузера.
В свою очередь, проблемой Mercury Browser является ненадежная реализация схемы Intent URI и уязвимость обратного пути в директориях в пользовательском веб-сервере, который используется для поддержки функции Wi-Fi Transfer. Совместное использование данных брешей дает злоумышленнику возможность удаленно читать и создавать файлы в директории данных браузера.