俄罗斯资安业者:UC Browser可能暗藏中间人***能力

俄罗斯资安业者Dr. Web本周警告，他们发现了Android平台上热门的UC浏览器（UC Browser）能够加载任意软件模块，而且是以未加密的HTTP协议与远程服务器通讯，暗藏中间人***能力，且该程序在网络大厂 Play上的安装数量已经超过5亿。UC浏览器为中国优视科技所开发的浏览器产品，阿里巴巴在2014年收购了优视科技，并建立UC行动事业群。UC行动事业群除了持续开发基本的UC浏览器之外，还打造了专门下载影片的轻薄UC Browser mini，在网络大厂 Play上亦有1亿以上的安装数量。

Dr. Web指出，该公司侦测到UC浏览器具备了可绕过网络大厂 Play服务器并下载辅助软件的能力，而此一作法已违反网络大厂的规定。根据网络大厂 Play的开发者政策，藉由网络大厂 Play散布的应用程序不得透过该平台更新机制以外的任何方法进行变更、替换或更新，也规定程序不得自网络大厂 Play以外来源下载可执行的档案。然而，Dr. Web却发现UC浏览器从远程服务器下载了可执行的Linux函式库，虽然该函式库是为了支持Office及PDF文件，并无不良企图，但这既是个可执行的档案，也绕过了网络大厂 Play的服务器，明显违反网络大厂准则，且此一更新功能从2016年起便已存在。内容来源：http://www.cafes.org.tw/info.asp
此外，UC浏览器与远程服务器之间的通讯是采用未加密的HTTP协议，含有潜在的中间人***（man-in-the-middle attacks，MitM）威胁，允许***将流量导至恶意网站以下载恶意模块，由于UC浏览器可执行未签署的插件，代表该模块不必经过验证就能执行。Dr. Web认为，就算优视没有不良企图，但这样的作法是有风险的。没有人能够保证该机制不会遭到***开采，利用恶意模块指使浏览器显示网钓讯息，以窃取用户的各种凭证，或是植入***程序来存取用户的机密数据。而另一款UC Browser mini同样也具备下载模块组件的能力，只是它并不存在中间人***的威胁。Dr. Web已经知会优视与网络大厂，但并未获得这两家业者的响应，目前这两个程序仍然安好地处于Play上。