圖片來源: 

Dr. Web

俄羅斯資安業者Dr. Web本周警告,他們發現了Android平台上熱門的UC瀏覽器(UC Browser)能夠載入任意軟體模組,而且是以未加密的HTTP協定與遠端伺服器通訊,暗藏中間人攻擊能力,且該程式在Google Play上的安裝數量已經超過5億。

UC瀏覽器為中國優視科技所開發的瀏覽器產品,阿里巴巴在2014年收購了優視科技,並建立UC行動事業群。UC行動事業群除了持續開發基本的UC瀏覽器之外,還打造了專門下載影片的輕薄UC Browser mini,在Google Play上亦有1億以上的安裝數量。

Dr. Web指出,該公司偵測到UC瀏覽器具備了可繞過Google Play伺服器並下載輔助軟體的能力,而此一作法已違反Google的規定。

根據Google Play的開發者政策,藉由Google Play散布的應用程式不得透過該平台更新機制以外的任何方法進行變更、替換或更新,也規定程式不得自Google Play以外來源下載可執行的檔案。

然而,Dr. Web卻發現UC瀏覽器從遠端伺服器下載了可執行的Linux函式庫,雖然該函式庫是為了支援Office及PDF文件,並無不良企圖,但這既是個可執行的檔案,也繞過了Google Play的伺服器,明顯違反Google準則,且此一更新功能從2016年起便已存在。

此外,UC瀏覽器與遠端伺服器之間的通訊是採用未加密的HTTP協定,含有潛在的中間人攻擊(man-in-the-middle attacks,MitM)威脅,允許駭客將流量導至惡意網站以下載惡意模組,由於UC瀏覽器可執行未簽署的外掛程式,代表該模組不必經過驗證就能執行。

Dr. Web認為,就算優視沒有不良企圖,但這樣的作法是有風險的。沒有人能夠保證該機制不會遭到駭客開採,利用惡意模組指使瀏覽器顯示網釣訊息,以竊取使用者的各種憑證,或是植入木馬程式來存取使用者的機密資料。

而另一款UC Browser mini同樣也具備下載模組元件的能力,只是它並不存在中間人攻擊的威脅。

Dr. Web已經知會優視與Google,但並未獲得這兩家業者的回應,目前這兩個程式仍然安好地處於Google Play上。


Advertisement

更多 iThome相關內容