雷鋒網(wǎng)3月27日消息，Drweb和The Hacker News官方發(fā)布的分析報告稱，自2016年以來UC瀏覽器中出現(xiàn)了一個潛在危險的更新功能。

目前該功能尚未受到木馬或者惡意軟件的攻擊，但其加載和啟動的未經(jīng)驗證的模塊功能構成了潛在威脅。分析報告稱，上述特性使得UC瀏覽器有可能遭受中間人攻擊（MITM）。為了下載新插件，瀏覽器向命令和控制器發(fā)送請求并接收響應文件的鏈接。

該程序通過不安全的通道（HTTP而非HTTPS）與服務器通信，因此網(wǎng)絡犯罪分子可以hook來自應用程序的請求，或者用包含不同地址的命令替換原命令。這樣一來，瀏覽器將從惡意服務器下載新模塊，由于UC瀏覽器使用未簽名的插件，這可以使其在無驗證狀態(tài)下啟動惡意程序。

該漏洞可被用于執(zhí)行釣魚攻擊竊取用戶名及密碼，銀行卡等個人數(shù)據(jù)。而報告也稱，UC Browser Mini也支持繞過Google Play服務器等未經(jīng)測試的組件，使其同樣具備受到攻擊的危險性，但并不屬于同種類型。

值得慶幸的是，UC瀏覽器官方現(xiàn)已就上述事件發(fā)表聲明回應，聲明中稱：“海外媒體報道UC瀏覽器海外版本的潛在漏洞，已在第一時間得到修復。UC瀏覽器國內(nèi)版本不存在更新功能潛在漏洞，UC瀏覽器更新功能符合國內(nèi)各大應用商店的監(jiān)測要求和安全標準?！?/p>

參考來源：黑鳥

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。