最新消息
UC 官方已回復(fù)，聲明中稱：“海外媒體報道 UC 瀏覽器國際版的潛在漏洞，已在第一時間得到修復(fù)。UC 瀏覽器的國內(nèi)版本不存在文章提及的更新功能潛在漏洞，UC 瀏覽器更新功能完全符合國內(nèi)各大應(yīng)用商店的監(jiān)測要求和安全標(biāo)準(zhǔn)，請廣大用戶放心使用?！?/p>

近日，有安全公司發(fā)現(xiàn) UC 瀏覽器中存在著中間人攻擊漏洞，存在被攻擊者推送惡意插件的安全隱患。

image

△ UC 瀏覽器，國內(nèi)移動端用戶量最大的瀏覽器之一，僅在 Google Play 下載量就超5億

據(jù) Dr.web 消息，Doctor Web 惡意軟件分析師在 UC 瀏覽器中發(fā)現(xiàn)了隱藏的功能，其中包括下載和運行可疑代碼的風(fēng)險、繞過 Google Play 服務(wù)器下載應(yīng)用、使用未加密的鏈接等。

Google Play 不允許收錄的應(yīng)用從 Google Play 以外的地方下載可執(zhí)行代碼，但 UC 瀏覽器違反了這一規(guī)定，可以從遠程服務(wù)器下載可執(zhí)行的 Linux 組件。不過據(jù) Dr.Web 分析，這個操作本身不存在惡意行為，而是為了方便用戶打開文檔。組件可以下載文檔，保存到其目錄下以供執(zhí)行。但瀏覽器這個行為有潛在的威脅，為中間人攻擊提供了可能性。

在下載新插件的過程中，UC 瀏覽器會向遠程服務(wù)器發(fā)送請求，并接收響應(yīng)文件的鏈接。過程中有不容忽略的一點，與服務(wù)器通信的這個過程使用的是 HTTP 協(xié)議，而不是加密的 HTTPS。這讓攻擊者可以 hook 來自應(yīng)用的請求，將命令替換，從而讓瀏覽器在惡意服務(wù)器下載插件。UC 瀏覽器本身使用未簽名插件的原因，惡意插件無需安全驗證就可啟動。

Dr.web 在測試中也證實了這點，研究人員攔截了 UC 瀏覽器發(fā)送到服務(wù)器的消息，成功打開了專門設(shè)計的替換模塊。

迷你版 UC 瀏覽器（Mini UC Browser）也存在可繞過 Google Play 服務(wù)器，下載未經(jīng)測試的插件的問題，但上述的中間人攻擊不適用于迷你版的 UC 瀏覽器。另外，據(jù) BleepingComputer 測試，桌面端 UC 瀏覽器在查看 PDF 文檔時，同樣會要求下載額外的插件，并通過不安全的 HTTP 通信從遠程服務(wù)器下載插件。這意味著攻擊者可能可以通過中間人攻擊，在用戶計算機上下載惡意插件。

最新消息：
官方回應(yīng)：海外媒體報道UC瀏覽器國際版的潛在漏洞，已在第一時間得到修復(fù)。UC瀏覽器的國內(nèi)版本不存在文章提及的更新功能潛在漏洞，UC瀏覽器更新功能完全符合國內(nèi)各大應(yīng)用商店的監(jiān)測要求和安全標(biāo)準(zhǔn)，請廣大用戶放心使用。

參考：Dr.web、BleepingComputer、FreeBuf
開源中國社區(qū)，每日推送最新優(yōu)質(zhì)的技術(shù)類文章，涵蓋外文翻譯，軟件更新，技術(shù)博客等優(yōu)質(zhì)內(nèi)容。關(guān)注開源社區(qū)簡書號，每日獲取最新技術(shù)資訊，點擊下鏈接閱讀原文章。↓↓↓
UC 瀏覽器曝出中間人攻擊漏洞，官方回應(yīng)已修復(fù)

關(guān)注開源中國簡書號，獲取最新技術(shù)資訊！