Дослідник безпеки під псевдонімом Rotologix виявив ряд проломів в мобільних інтернет-браузерах Dolphin Browser і Mercury Browser, експлуатація яких дозволяє віддалено виконати код.
За наявними на сьогоднішній день даними, користувачами Dolphin є 100 млн чоловік, Mercury - 1 млн. Для порівняння, браузер Firefox для Android встановили 500 млн користувачів, показники ж Google Chrome коливаються в межах 5 млрд інсталяцій.
Rotologix поінформував про проломах розробників інтернет-оглядачів. Обидва виробники вже випустили оновлення з усуненням проломів.
За словами фахівця, у випадку з Dolphin Browser атакуючий з можливістю контролю мережевого трафіку може модифікувати функціонал завантаження і застосування нових тем для браузера. Шляхом експлуатації даного функціоналу зловмисник може виконати код в контексті браузера на пристрої користувача.
Оскільки востаннє Dolphin Browser оновлювався в липні нинішнього року, зазначає Rotologix, пролом зачіпає всіх користувачів інтернет-оглядача.
Проблема Mercury Browser полягає в ненадійною реалізації схеми Intent URI та вразливості зворотного шляху в директоріях (Path Traversal) в кастомними web-сервері, використовуваному для підтримки функції Wi-Fi Transfer. Спільна експлуатація даних проломів дозволяє атакуючому віддалено читати і створювати файли в директорії даних браузера.