據外媒報道，俄羅斯安全公司 Dr Web的研究人員稱，UC瀏覽器存在一個設計漏洞，攻擊者可以用互聯網上任意一臺服務器上的文件替換從該公司服務器上下載的文件。

安全公司已經發(fā)出警告，UC瀏覽器無需通過谷歌的官方 Play store服務器就可以下載額外的軟件庫。這違反了谷歌公司的規(guī)定，并構成了嚴重的威脅，它使得任何代碼，包括惡意代碼，都可以下載到安卓設備上。

UC瀏覽器在印度擁有大量用戶，在 Play store上的下載量超過5億次，也可以通過第三方應用商店下載。

Web研究人員指出，目前UC瀏覽器代表著“潛在的威脅”，由于其設計漏洞，所有用戶都可能暴露在惡意軟件中。如果網絡罪犯控制了瀏覽器的命令與控制服務器，他們可以使用內置的更新功能發(fā)布可執(zhí)行代碼。

此外，瀏覽器還可能遭受MITM(中間人)攻擊。MITM威脅的出現是因為 UCWeb犯了一個安全錯誤，即通過不安全的HTTP鏈接向瀏覽器提交更新。

下載新的插件時，瀏覽器會向命令與控制服務器發(fā)送一個請求，并接收到一個指向文件的鏈接作為響應。由于程序通過不安全的通道(HTTP協議而不是加密的 Https)與服務器通信，網絡罪犯可以從應用程序中鉤住請求，并用不同地址的命令替換這些命令。這使得瀏覽器不是從自己的命令和控制服務器下載，而是從惡意服務器下載新的模塊。

因為UC瀏覽器使用的是無簽名插件，所以它會在沒有任何驗證的情況下啟動惡意模塊。 UCWeb的UC瀏覽器迷你版也可能會產生惡意更新，但不會遭遇MITM。UC瀏覽器迷你版已經在游戲商店被下載了1億次。

據 Dr Web稱，UCWeb的開發(fā)人員沒有重視 Dr Web研究人員關于安全問題的通知，Dr Web也向谷歌報告了漏洞。然而，到目前為止，這些應用程序仍然可以在 Play Store上使用。

cc

收藏 海報分享