最新消息
UC 官方已回復(fù),聲明中稱:“海外媒體報(bào)道 UC 瀏覽器國際版的潛在漏洞,已在第一時(shí)間得到修復(fù)蝎土。UC 瀏覽器的國內(nèi)版本不存在文章提及的更新功能潛在漏洞视哑,UC 瀏覽器更新功能完全符合國內(nèi)各大應(yīng)用商店的監(jiān)測要求和安全標(biāo)準(zhǔn),請廣大用戶放心使用誊涯〉惨悖”
近日,有安全公司發(fā)現(xiàn) UC 瀏覽器中存在著中間人攻擊漏洞暴构,存在被攻擊者推送惡意插件的安全隱患跪呈。
△ UC 瀏覽器,國內(nèi)移動(dòng)端用戶量最大的瀏覽器之一取逾,僅在 Google Play 下載量就超5億
據(jù) Dr.web 消息耗绿,Doctor Web 惡意軟件分析師在 UC 瀏覽器中發(fā)現(xiàn)了隱藏的功能,其中包括下載和運(yùn)行可疑代碼的風(fēng)險(xiǎn)砾隅、繞過 Google Play 服務(wù)器下載應(yīng)用误阻、使用未加密的鏈接等。
Google Play 不允許收錄的應(yīng)用從 Google Play 以外的地方下載可執(zhí)行代碼晴埂,但 UC 瀏覽器違反了這一規(guī)定究反,可以從遠(yuǎn)程服務(wù)器下載可執(zhí)行的 Linux 組件。不過據(jù) Dr.Web 分析儒洛,這個(gè)操作本身不存在惡意行為精耐,而是為了方便用戶打開文檔。組件可以下載文檔琅锻,保存到其目錄下以供執(zhí)行卦停。但瀏覽器這個(gè)行為有潛在的威脅,為中間人攻擊提供了可能性浅浮。
在下載新插件的過程中沫浆,UC 瀏覽器會(huì)向遠(yuǎn)程服務(wù)器發(fā)送請求,并接收響應(yīng)文件的鏈接滚秩。過程中有不容忽略的一點(diǎn),與服務(wù)器通信的這個(gè)過程使用的是 HTTP 協(xié)議淮捆,而不是加密的 HTTPS郁油。這讓攻擊者可以 hook 來自應(yīng)用的請求,將命令替換攀痊,從而讓瀏覽器在惡意服務(wù)器下載插件桐腌。UC 瀏覽器本身使用未簽名插件的原因,惡意插件無需安全驗(yàn)證就可啟動(dòng)苟径。
Dr.web 在測試中也證實(shí)了這點(diǎn)案站,研究人員攔截了 UC 瀏覽器發(fā)送到服務(wù)器的消息,成功打開了專門設(shè)計(jì)的替換模塊棘街。
迷你版 UC 瀏覽器(Mini UC Browser)也存在可繞過 Google Play 服務(wù)器蟆盐,下載未經(jīng)測試的插件的問題承边,但上述的中間人攻擊不適用于迷你版的 UC 瀏覽器。另外石挂,據(jù) BleepingComputer 測試博助,桌面端 UC 瀏覽器在查看 PDF 文檔時(shí),同樣會(huì)要求下載額外的插件痹愚,并通過不安全的 HTTP 通信從遠(yuǎn)程服務(wù)器下載插件富岳。這意味著攻擊者可能可以通過中間人攻擊,在用戶計(jì)算機(jī)上下載惡意插件拯腮。
最新消息:
官方回應(yīng):海外媒體報(bào)道UC瀏覽器國際版的潛在漏洞窖式,已在第一時(shí)間得到修復(fù)。UC瀏覽器的國內(nèi)版本不存在文章提及的更新功能潛在漏洞动壤,UC瀏覽器更新功能完全符合國內(nèi)各大應(yīng)用商店的監(jiān)測要求和安全標(biāo)準(zhǔn)脖镀,請廣大用戶放心使用。
參考:Dr.web狼电、BleepingComputer蜒灰、FreeBuf
開源中國社區(qū),每日推送最新優(yōu)質(zhì)的技術(shù)類文章肩碟,涵蓋外文翻譯强窖,軟件更新,技術(shù)博客等優(yōu)質(zhì)內(nèi)容削祈。關(guān)注開源社區(qū)簡書號翅溺,每日獲取最新技術(shù)資訊,點(diǎn)擊下鏈接閱讀原文章髓抑×椋↓↓↓
UC 瀏覽器曝出中間人攻擊漏洞,官方回應(yīng)已修復(fù)
