UC 浏览器曝中间人攻击漏洞,官方:已修复,国内版不受影响
最新消息
UC 官方已回复,声明中称:“海外媒体报道 UC 浏览器国际版的潜在漏洞,已在第一时间得到修复。UC 浏览器的国内版本不存在文章提及的更新功能潜在漏洞,UC 浏览器更新功能完全符合国内各大应用商店的监测要求和安全标准,请广大用户放心使用。”
近日,有安全公司发现 UC 浏览器中存在着中间人攻击漏洞,存在被攻击者推送恶意插件的安全隐患。
△ UC 浏览器,国内移动端用户量最大的浏览器之一,仅在 Google Play 下载量就超5亿
据 Dr.web 消息,Doctor Web 恶意软件分析师在 UC 浏览器中发现了隐藏的功能,其中包括下载和运行可疑代码的风险、绕过 Google Play 服务器下载应用、使用未加密的链接等。
Google Play 不允许收录的应用从 Google Play 以外的地方下载可执行代码,但 UC 浏览器违反了这一规定,可以从远程服务器下载可执行的 Linux 组件。不过据 Dr.Web 分析,这个操作本身不存在恶意行为,而是为了方便用户打开文档。组件可以下载文档,保存到其目录下以供执行。但浏览器这个行为有潜在的威胁,为中间人攻击提供了可能性。
在下载新插件的过程中,UC 浏览器会向远程服务器发送请求,并接收响应文件的链接。过程中有不容忽略的一点,与服务器通信的这个过程使用的是 HTTP 协议,而不是加密的 HTTPS。这让攻击者可以 hook 来自应用的请求,将命令替换,从而让浏览器在恶意服务器下载插件。UC 浏览器本身使用未签名插件的原因,恶意插件无需安全验证就可启动。
Dr.web 在测试中也证实了这点,研究人员拦截了 UC 浏览器发送到服务器的消息,成功打开了专门设计的替换模块。
迷你版 UC 浏览器(Mini UC Browser)也存在可绕过 Google Play 服务器,下载未经测试的插件的问题,但上述的中间人攻击不适用于迷你版的 UC 浏览器。另外,据 BleepingComputer 测试,桌面端 UC 浏览器在查看 PDF 文档时,同样会要求下载额外的插件,并通过不安全的 HTTP 通信从远程服务器下载插件。这意味着攻击者可能可以通过中间人攻击,在用户计算机上下载恶意插件。
虽然 UC 浏览器本身没恶意,但这个问题是很大风险的中间人攻击漏洞。Doctor Web 专家已联系了浏览器的开发人员,并向 Google 报告了此事,目前暂未收到回应。
最新消息
UC 官方已回复,声明中称:“海外媒体报道 UC 浏览器国际版的潜在漏洞,已在第一时间得到修复。UC 浏览器的国内版本不存在文章提及的更新功能潜在漏洞,UC 浏览器更新功能完全符合国内各大应用商店的监测要求和安全标准,请广大用户放心使用。”
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Red Hat 第四季度总营收为8.79亿美元,低于预期
虽然红帽 Red Hat 已宣布被蓝巨人 IBM 收购,但这一交易目前尚未完成,所以不妨看看在收购完成前,这家赚钱能力最强的开源软件公司在第四季度的盈利情况如何。 红帽周一发布了第四季度的财报,报告显示: 第四季度 GAAP 净收入为1.39亿美元,即每股75美元 第四季度总营收为8.79亿美元,同比增长14%;整个财年年度总收入为34亿美元,同比增长15% 第四季度来自基础设施相关产品的订阅服务收入为5.49亿美元,同比增长8%;整个财年年度基础设施相关产品的订阅服务收入为21亿美元,同比增长9% 第四季度与应用程序开发相关的新兴技术订阅收入为2.25亿美元,同比增长30%;整个财年年度应用程序开发相关及其他新兴技术订阅收入为8.16亿美元,同比增长31% 第四季度培训和服务收入为1.05亿美元,同比增长18%;整个财年年度总培训和服务收入为4.13亿美元,同比增长19% 年末递延营业收入余额为30亿美元,同比增长15% 总营收方面略低于分析师预计的8.839亿美元,红帽 CEO 则表示,红帽的总订阅用户数较去年同比增长了33%。这一增长的关键是 Ansible 和 OpenShif...
- 下一篇
ACM 宣布三位深度学习之父共同获得 2018 年图灵奖
2019年3月27日,ACM 正式宣布将 2018 年图灵奖授予 Yoshua Bengio, Geoffrey Hinton 和Yann LeCun,以表彰他们提出的概念和工作使得深度学习神经网络有了重大突破,如今神经网络已经成为计算领域的重要组成部分。他们将于2019年6月15日在加利福尼亚州旧金山举行的 ACM 年度颁奖晚宴上正式收到 2018 年 ACM 图灵奖。 2018年图灵奖获得者从左到右:Yann LeCun, Geoff Hinton 和 Yoshua Bengio Hinton、LeCun 和 Bengio 独立工作,共同开发了深度学习神经网络领域的概念基础,通过实验和实际工程证明了深度神经网络的优势。近年来,深度学习方法一直是计算机视觉、语音识别、自然语言处理和机器人技术等领域出现惊人突破的主要原因。 谈及颁奖缘由,ACM 总裁 Cherri M. Pancake 说到:“人工智能现在是所有科学领域发展最快的领域之一,也是社会上最受关注的话题之一。人工智能的进步和兴盛在很大程度上归功于 Bengio、Hinton 和 LeCun 为深度学习最新进展奠定的基础。这些...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS7安装Docker,走上虚拟化容器引擎之路