如果您是使用阿里巴巴UC浏览器的数百万用户之一,那么您可能暂时想停止。使用Web Anti-Virus博士的研究人员发现,UC浏览器能够绕过Google Play的服务器来下载其他软件模块和库,从而可能允许下载恶意代码。不必担心阿里巴巴拥有的UCWeb会将恶意软件加载到用户设备上,但是它保护命令服务器的方式为其他人打开了大门。

UC浏览器接收这些附加库的方式存在许多问题。首先,绕过Google的服务器和验证过程显然违反了Google Play的规则,该规则禁止该服务上托管的应用从Play商店以外的其他来源下载新组件。Web博士指出,自2016年以来,UC浏览器一直在使用这种软件交付方法,当您了解命令和控制服务器UC浏览器通过HTTP使用推送软件时,这一点尤其令人担忧。

这才是真正的麻烦所在:由于UC浏览器正在通过未加密的HTTP(而不是更安全的HTTPS)下载软件,这为中间人攻击打开了可能。黑客可能会拦截来自UC浏览器的对软件的请求,并将其用于将恶意软件推送到应用程序,从而使用户处于遭受网络钓鱼诈骗或更糟的受害者的风险中。

UC Browser也会运行它最终下载的内容,因为它不会验证新插件,即使未签名也可以运行它们。凭借5亿的下载量,此漏洞无疑使很多人处于危险之中。Web博士在其报告中指出,UC Browser Mini(可下载超过1亿次的标准UC Browser的替代产品)也容易受到相同类型的攻击。

Web博士说,它已经向应用程序作者和Google都报告了这些漏洞,但在发布报告时(实际上,在撰写本文时),两个应用程序仍在Google Play商店中可用。在我们等待阿里巴巴回应该报告的同时,卸载UC Browser可能是一个好主意,以免使您面临上述上述中间人攻击的风险。