隶属于阿里巴巴集团的UC浏览器(UC Browser)继今年3月被俄罗斯安全企业Dr. Web踢爆,该程序含有中间人攻击风险之后。云计算安全企业Zscaler本周指出,他们在UC Browser与UC Browser mini又发现另一个中间人攻击风险,且相关浏览器明显违反了Google Play政策,波及全球6亿Android用户。
Zscaler的研究人员先是发现有关9appsdownloading.com域名的可疑请求,追查之下才知道相关请求来自UC浏览器,于是针对该浏览器进行分析,发现UC浏览器会通过不安全的HTTP over HTTPS渠道,自第三方来源下载额外的APK,并将该APK存放在外部存储空间。
一来自非Google Play的第三方来源下载额外APK,违反了Google Play的政策,二来其通信是借由不安全的渠道,打开了中间人攻击(MiTM)的大门,三来把该APK存放在外部存储空间,将允许其它具备适当权限的程序修改该APK。
不只是UC浏览器,同样来自阿里巴巴集团的UC Browser Mini也有一样的行为。而UC浏览器在Google Play上的下载数已超过5亿,UC Browser Mini则超过1亿,总计有6亿的Android用户暴露在中间人攻击的风险中。
研究人员还针对这个额外的APK进行分析,显示UC浏览器只是把它放置在外部存储空间,并未安装它,于是研究人员动手安装了这个APK,结果它是个第三方的Android程序商店9 Apps,下载来源为9appsdownloading“.”com,且安装后该程序会扫描设备上已安装的所有程序。
把APK放置在外部存储空间,代表任何拥有相关存储空间权限的程序,都能访问并篡改该APK。
其实9 Apps并不是个恶意文件,Zscaler认为UC浏览器最大的风险来自中间人攻击,因为一旦它能从未知的第三方以不安全的渠道来下载程序,就可能允许黑客窥探设备活动,还能安装任意的酬载,以用来显示网络钓鱼消息并窃取用户的机密信息。
Zscaler是在今年8月发现UC浏览器的行为并向Google提报,Google已经在9月要求UC Browser与UC Browser Mini更新了。