UC浏览器曝出中间人攻击漏洞 存在被推送恶意插件的隐患
时间:2019-03-28 作者:雨林木风Win10系统 来源: www.ylmfwin100.com近日,有安全公司发现 UC 浏览器中存在着中间人攻击漏洞,存在被攻击者推送恶意插件的安全隐患。据 Dr.web消息,Doctor Web 恶意软件分析师在 UC 浏览器中发现了隐藏的功能,其中包括下载和运行可疑代码的风险、绕过 Google Play 服务器下载应用、使用未加密的链接等。

△UC 浏览器,国内移动端用户量最大的浏览器之一,仅在Google Play 下载量就超5亿
Google Play 不允许收录的应用从 Google Play 以外的地方下载可执行代码,但 UC 浏览器违反了这一规定,可以从远程服务器下载可执行的 Linux 组件。不过据 Dr.Web 分析,这个操作本身不存在恶意行为,而是为了方便用户打开文档。组件可以下载文档,保存到其目录下以供执行。但浏览器这个行为有潜在的威胁,为中间人攻击提供了可能性。
在下载新插件的过程中,UC 浏览器会向远程服务器发送请求,并接收响应文件的链接。过程中有不容忽略的一点,与服务器通信的这个过程使用的是 HTTP 协议,而不是加密的 HTTPS。这让攻击者可以 hook 来自应用的请求,将命令替换,从而让浏览器在恶意服务器下载插件。UC 浏览器本身使用未签名插件的原因,恶意插件无需安全验证就可启动。
Dr.web 在测试中也证实了这点,研究人员拦截了 UC 浏览器发送到服务器的消息,成功打开了专门设计的替换模块。
迷你版 UC 浏览器(Mini UC Browser)也存在可绕过 Google Play 服务器,下载未经测试的插件的问题,但上述的中间人攻击不适用于迷你版的 UC 浏览器。另外,据BleepingComputer测试,桌面端 UC 浏览器在查看 PDF 文档时,同样会要求下载额外的插件,并通过不安全的 HTTP 通信从远程服务器下载插件。这意味着攻击者可能可以通过中间人攻击,在用户计算机上下载恶意插件。
虽然 UC 浏览器本身没恶意,但这个问题是很大风险的中间人攻击漏洞。Doctor Web 专家已联系了浏览器的开发人员,并向 Google 报告了此事,目前暂未收到回应。
相关文章
- 雨林木风 GHOST XP SP3 装机版 V2015.12
- 深度技术 GHOST XP SP3 通用装机版 2016.05
- 番茄花园 GHOST XP SP3 装机版 V2016.09
- 雨林木风 Ghost XP SP3 极速装机版 2014年9月版
- 电脑公司 GHOST XP SP3 完美装机版 2016年09月
- 老毛桃 GHOST XP SP3 标准装机版 2016.05
- 新萝卜家园 Ghost XP SP3 电脑城极速装机版 2014.08+
- 新萝卜家园 Ghost XP SP3 快速装机版 2015.05
- 999宝藏网 Ghost XP SP3 绝对装机版 v2016.06
- 番茄花园 GHOST XP SP3 增强装机版 V2016.05
雨林木风WIN10系统
- 1雨林木风Ghost Win10 X64位 全新专业版 V20
- 2雨林木风Ghost Win10x86 推荐专业版 V2021
- 3雨林木风 Win10(2004) v2021.01 32位专业
- 4雨林木风Ghost Win10x86 电脑城专业版 2021
- 5雨林木风Ghost Win10 X64 家庭专业版 V2021
- 6雨林木风Ghost Win10x86 最新专业版 2021V0
- 7雨林木风Ghost Win10 x64 官方专业版 v2021
- 8雨林木风Ghost Win10 64位 万能2021新年春
- 9雨林木风Windows10 极速2021新年春节版32位
- 10雨林木风 Win10 (2004) v2021.01 64位专业
雨林木风系统下载榜
雨林木风Windows10 极速2021新年春节版32位
雨林木风Ghost Win10x86 稳定专业版 v202104(无需激活)
雨林木风Ghost Win10 X64位 全新专业版 V202104(自动激活)
雨林木风Ghost Win10x86 电脑城专业版 2021v05(无需激活)
雨林木风Ghost Win10 x64 官方专业版 v2021年03月(无需激活)
雨林木风Ghost Win10 X64 家庭专业版 V2021.02月(永久激活)
雨林木风 Win10(2004) v2021.01 32位专业版
雨林木风 Win10 (2004) v2021.01 64位专业版 