据外媒报道,俄罗斯安全公司 Dr Web的研究人员称,UC浏览器存在一个设计漏洞,攻击者可以用互联网上任意一台服务器上的文件替换从该公司服务器上下载的文件。
安全公司已经发出警告,UC浏览器无需通过谷歌的官方 Play store服务器就可以下载额外的软件库。这违反了谷歌公司的规定,并构成了严重的威胁,它使得任何代码,包括恶意代码,都可以下载到安卓设备上。
UC浏览器在印度拥有大量用户,在 Play store上的下载量超过5亿次,也可以通过第三方应用商店下载。
Web研究人员指出,目前UC浏览器代表着“潜在的威胁”,由于其设计漏洞,所有用户都可能暴露在恶意软件中。如果网络罪犯控制了浏览器的命令与控制服务器,他们可以使用内置的更新功能发布可执行代码。
此外,浏览器还可能遭受MITM(中间人)攻击。MITM威胁的出现是因为 UCWeb犯了一个安全错误,即通过不安全的HTTP链接向浏览器提交更新。
下载新的插件时,浏览器会向命令与控制服务器发送一个请求,并接收到一个指向文件的链接作为响应。由于程序通过不安全的通道(HTTP协议而不是加密的 Https)与服务器通信,网络罪犯可以从应用程序中钩住请求,并用不同地址的命令替换这些命令。这使得浏览器不是从自己的命令和控制服务器下载,而是从恶意服务器下载新的模块。
因为UC浏览器使用的是无签名插件,所以它会在没有任何验证的情况下启动恶意模块。 UCWeb的UC浏览器迷你版也可能会产生恶意更新,但不会遭遇MITM。UC浏览器迷你版已经在游戏商店被下载了1亿次。
据 Dr Web称,UCWeb的开发人员没有重视 Dr Web研究人员关于安全问题的通知,Dr Web也向谷歌报告了漏洞。然而,到目前为止,这些应用程序仍然可以在 Play Store上使用。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。