雷鋒網(wǎng)3月27日消息，Drweb和The Hacker News官方發(fā)布的分析報(bào)告稱(chēng)，自2016年以來(lái)UC瀏覽器中出現(xiàn)了一個(gè)潛在危險(xiǎn)的更新功能。

目前該功能尚未受到木馬或者惡意軟件的攻擊，但其加載和啟動(dòng)的未經(jīng)驗(yàn)證的模塊功能構(gòu)成了潛在威脅。分析報(bào)告稱(chēng)，上述特性使得UC瀏覽器有可能遭受中間人攻擊（MITM）。為了下載新插件，瀏覽器向命令和控制器發(fā)送請(qǐng)求并接收響應(yīng)文件的鏈接。

該程序通過(guò)不安全的通道（HTTP而非HTTPS）與服務(wù)器通信，因此網(wǎng)絡(luò)犯罪分子可以hook來(lái)自應(yīng)用程序的請(qǐng)求，或者用包含不同地址的命令替換原命令。這樣一來(lái)，瀏覽器將從惡意服務(wù)器下載新模塊，由于UC瀏覽器使用未簽名的插件，這可以使其在無(wú)驗(yàn)證狀態(tài)下啟動(dòng)惡意程序。

該漏洞可被用于執(zhí)行釣魚(yú)攻擊竊取用戶(hù)名及密碼，銀行卡等個(gè)人數(shù)據(jù)。而報(bào)告也稱(chēng)，UC Browser Mini也支持繞過(guò)Google Play服務(wù)器等未經(jīng)測(cè)試的組件，使其同樣具備受到攻擊的危險(xiǎn)性，但并不屬于同種類(lèi)型。

值得慶幸的是，UC瀏覽器官方現(xiàn)已就上述事件發(fā)表聲明回應(yīng)，聲明中稱(chēng)：“海外媒體報(bào)道UC瀏覽器海外版本的潛在漏洞，已在第一時(shí)間得到修復(fù)。UC瀏覽器國(guó)內(nèi)版本不存在更新功能潛在漏洞，UC瀏覽器更新功能符合國(guó)內(nèi)各大應(yīng)用商店的監(jiān)測(cè)要求和安全標(biāo)準(zhǔn)?！?/p>

參考來(lái)源：黑鳥(niǎo)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。