小编来报:安卓用户注意了,UC浏览器无需通过谷歌Play Store服务器就可以下载额外的软件库,这意味着恶意代码都有可能下载到安卓设备上!看看你的手机安装它了吗?
据外媒报道,俄罗斯安全公司Dr Web的研究人员称,UC浏览器存在一个设计漏洞,攻击者可以用互联网上任意一台服务器上的文件替换从该公司服务器上下载的文件。
安全公司已经发出警告,UC浏览器无需通过谷歌的官方Play Store服务器就可以下载额外的软件库。这违反了谷歌公司的规定,并构成了严重的威胁,它使得任何代码,包括恶意代码,都可以下载到安卓设备上。
UC 浏览器在印度拥有大量用户,在Play Store上的下载量超过5亿次,也可以通过第三方应用商店下载。
Web研究人员指出,目前UC浏览器代表着“潜在的威胁”,由于其设计漏洞,所有用户都可能暴露在恶意软件中。如果网络罪犯控制了浏览器的命令与控制服务器,他们可以使用内置的更新功能发布可执行代码。
此外,浏览器还可能遭受MITM(中间人)攻击。MITM威胁的出现是因为UCWeb犯了一个安全错误,即通过不安全的HTTP连接向浏览器提交更新。
下载新的插件时,浏览器会向命令与控制服务器发送一个请求,并接收到一个指向文件的链接作为响应。由于程序通过不安全的通道(HTTP协议而不是加密的HTTPS)与服务器通信,网络罪犯可以从应用程序中钩住请求,并用不同地址的命令替换这些命令。这使得浏览器不是从自己的命令和控制服务器下载,而是从恶意服务器下载新的模块。
因为UC浏览器使用的是无签名插件,所以它会在没有任何验证的情况下启动恶意模块。UCWeb的UC浏览器迷你版也可能会产生恶意更新,但不会遭遇MITM。UC浏览器迷你版已经在游戏商店被下载了1亿次。
据Dr Web称,UCWeb的开发人员没有重视Dr Web研究人员关于安全问题的通知,Dr Web也向谷歌报告了漏洞。然而,到目前为止,这些应用程序仍然可以在Play Store上使用。
Copyright © 2008-2022 秒下下载站
m.down10s.com .All Rights Reserved
