UC 浏览器曝中间人攻击漏洞,官方:已修复,国内版不受影响

字数 963阅读 79

最新消息
UC 官方已回复,声明中称:“海外媒体报道 UC 浏览器国际版的潜在漏洞,已在第一时间得到修复。UC 浏览器的国内版本不存在文章提及的更新功能潜在漏洞,UC 浏览器更新功能完全符合国内各大应用商店的监测要求和安全标准,请广大用户放心使用。”

近日,有安全公司发现 UC 浏览器中存在着中间人攻击漏洞,存在被攻击者推送恶意插件的安全隐患。

image

UC 浏览器,国内移动端用户量最大的浏览器之一,仅在 Google Play 下载量就超5亿

据 Dr.web 消息,Doctor Web 恶意软件分析师在 UC 浏览器中发现了隐藏的功能,其中包括下载和运行可疑代码的风险、绕过 Google Play 服务器下载应用、使用未加密的链接等。

Google Play 不允许收录的应用从 Google Play 以外的地方下载可执行代码,但 UC 浏览器违反了这一规定,可以从远程服务器下载可执行的 Linux 组件。不过据 Dr.Web 分析,这个操作本身不存在恶意行为,而是为了方便用户打开文档。组件可以下载文档,保存到其目录下以供执行。但浏览器这个行为有潜在的威胁,为中间人攻击提供了可能性。

在下载新插件的过程中,UC 浏览器会向远程服务器发送请求,并接收响应文件的链接。过程中有不容忽略的一点,与服务器通信的这个过程使用的是 HTTP 协议,而不是加密的 HTTPS。这让攻击者可以 hook 来自应用的请求,将命令替换,从而让浏览器在恶意服务器下载插件。UC 浏览器本身使用未签名插件的原因,恶意插件无需安全验证就可启动。

Dr.web 在测试中也证实了这点,研究人员拦截了 UC 浏览器发送到服务器的消息,成功打开了专门设计的替换模块。

迷你版 UC 浏览器(Mini UC Browser)也存在可绕过 Google Play 服务器,下载未经测试的插件的问题,但上述的中间人攻击不适用于迷你版的 UC 浏览器。另外,据 BleepingComputer 测试,桌面端 UC 浏览器在查看 PDF 文档时,同样会要求下载额外的插件,并通过不安全的 HTTP 通信从远程服务器下载插件。这意味着攻击者可能可以通过中间人攻击,在用户计算机上下载恶意插件。

最新消息:
官方回应:海外媒体报道UC浏览器国际版的潜在漏洞,已在第一时间得到修复。UC浏览器的国内版本不存在文章提及的更新功能潜在漏洞,UC浏览器更新功能完全符合国内各大应用商店的监测要求和安全标准,请广大用户放心使用。

参考:Dr.web、BleepingComputer、FreeBuf
开源中国社区,每日推送最新优质的技术类文章,涵盖外文翻译,软件更新,技术博客等优质内容。关注开源社区简书号,每日获取最新技术资讯,点击下链接阅读原文章。↓↓↓
UC 浏览器曝出中间人攻击漏洞,官方回应已修复

关注开源中国简书号,获取最新技术资讯!