UC Browser暗藏中間人攻擊能力

俄羅斯資安業者Dr. Web本周警告，他們發現了Android平台上熱門的UC瀏覽器（UC Browser）能夠載入任意軟體模組，而且是以未加密的HTTP協定與遠端伺服器通訊，暗藏中間人攻擊能力，且該程式在Google Play上的安裝數量已經超過5億。

UC瀏覽器為中國優視科技所開發的瀏覽器產品，阿里巴巴在2014年收購了優視科技，並建立UC行動事業群。UC行動事業群除了持續開發基本的UC瀏覽器之外，還打造了專門下載影片的輕薄UC Browser mini，在Google Play上亦有1億以上的安裝數量。

Dr. Web指出，該公司偵測到UC瀏覽器具備了可繞過Google Play伺服器並下載輔助軟體的能力，而此一作法已違反Google的規定。

根據Google Play的開發者政策，藉由Google Play散布的應用程式不得透過該平台更新機制以外的任何方法進行變更、替換或更新，也規定程式不得自Google Play以外來源下載可執行的檔案。

然而，Dr. Web卻發現UC瀏覽器從遠端伺服器下載了可執行的Linux函式庫，雖然該函式庫是為了支援Office及PDF文件，並無不良企圖，但這既是個可執行的檔案，也繞過了Google Play的伺服器，明顯違反Google準則，且此一更新功能從2016年起便已存在。

此外，UC瀏覽器與遠端伺服器之間的通訊是採用未加密的HTTP協定，含有潛在的中間人攻擊（man-in-the-middle attacks，MitM）威脅，允許駭客將流量導至惡意網站以下載惡意模組，由於UC瀏覽器可執行未簽署的外掛程式，代表該模組不必經過驗證就能執行。

Dr. Web認為，就算優視沒有不良企圖，但這樣的作法是有風險的。沒有人能夠保證該機制不會遭到駭客開採，利用惡意模組指使瀏覽器顯示網釣訊息，以竊取使用者的各種憑證，或是植入木馬程式來存取使用者的機密資料。

而另一款UC Browser mini同樣也具備下載模組元件的能力，只是它並不存在中間人攻擊的威脅。

Dr. Web已經知會優視與Google，但並未獲得這兩家業者的回應，目前這兩個程式仍然安好地處於Google Play上。