俄罗斯资安业者:UC Browser可能暗藏中间人***能力

原文链接:
http://blog.51cto.com/13220658/2370673


俄罗斯资安业者Dr. Web本周警告,他们发现了Android平台上热门的UC浏览器(UC Browser)能够加载任意软件模块,而且是以未加密的HTTP协议与远程服务器通讯,暗藏中间人***能力,且该程序在网络大厂 Play上的安装数量已经超过5亿。UC浏览器为中国优视科技所开发的浏览器产品,阿里巴巴在2014年收购了优视科技,并建立UC行动事业群。UC行动事业群除了持续开发基本的UC浏览器之外,还打造了专门下载影片的轻薄UC Browser mini,在网络大厂 Play上亦有1亿以上的安装数量。
俄罗斯资安业者:UC Browser可能暗藏中间人***能力
Dr. Web指出,该公司侦测到UC浏览器具备了可绕过网络大厂 Play服务器并下载辅助软件的能力,而此一作法已违反网络大厂的规定。根据网络大厂 Play的开发者政策,藉由网络大厂 Play散布的应用程序不得透过该平台更新机制以外的任何方法进行变更、替换或更新,也规定程序不得自网络大厂 Play以外来源下载可执行的档案。然而,Dr. Web却发现UC浏览器从远程服务器下载了可执行的Linux函式库,虽然该函式库是为了支持Office及PDF文件,并无不良企图,但这既是个可执行的档案,也绕过了网络大厂 Play的服务器,明显违反网络大厂准则,且此一更新功能从2016年起便已存在。内容来源:http://www.cafes.org.tw/info.asp
此外,UC浏览器与远程服务器之间的通讯是采用未加密的HTTP协议,含有潜在的中间人***(man-in-the-middle attacks,MitM)威胁,允许***将流量导至恶意网站以下载恶意模块,由于UC浏览器可执行未签署的插件,代表该模块不必经过验证就能执行。Dr. Web认为,就算优视没有不良企图,但这样的作法是有风险的。没有人能够保证该机制不会遭到***开采,利用恶意模块指使浏览器显示网钓讯息,以窃取用户的各种凭证,或是植入***程序来存取用户的机密数据。而另一款UC Browser mini同样也具备下载模块组件的能力,只是它并不存在中间人***的威胁。Dr. Web已经知会优视与网络大厂,但并未获得这两家业者的响应,目前这两个程序仍然安好地处于Play上。

转载于:https://blog.51cto.com/13220658/2370673