10月20日消息,ThreatLabZ的研究人员披露,UC浏览器违反了Google Play商店的安全政策,或将致使其安卓版本用户陷入危险之中。按照Google Play商店规定,上传至该平台的安卓应用不可从第三方来源处进行更新或修改,以保证应用的安全性。然而,UC浏览器和UC浏览器Mini违反了这一规定。
广受好评的UC浏览器和UC浏览器的迷你Android应用程序,通过不受保护的渠道从第三方服务器下载一个Android工具包(APK),将用户暴露在中间人(man-in-the-middle, MiTM)攻击之下。
这样做直接违反了Google的应用商店规则,因为Google在Play商店的隐私权,安全性和欺骗性规则中指出“通过Google Play分发的Android应用程序不得使用Google Play的更新机制以外的任何方法来修改,替换或更新。同样,应用程序不得从Google Play以外的其他来源下载可执行代码(例如dex,JAR,.so文件)”。
Zscaler于8月13日向Google报告了UC浏览器违反政策的问题。9月27日,Google确认了UC浏览器和UC Mini的问题,并与UCWeb进行了联系,以更新应用程序并纠正违反政策的行为。随后UCWeb更新并修复了两个应用程序中的问题。
UC Browser仅从Android设备的外部存储设备上的9appsdownloading.com域下载了APK,而没有实际安装它。
窜蝉肠补濒别谤的研究团队安装了础笔碍之后,发现它是名为9础辫辫蝉的第叁方应用商店,其包名称为肠辞尘.尘辞产颈濒别.颈苍诲颈补辫辫。在测试设备上启动后,9础辫辫蝉应用程序开始扫描已安装的应用程序,并允许从其内置应用程序商店中安装更多应用程序,这些应用程序也从9补辫辫蝉诲辞飞苍濒辞补诲颈苍驳.肠辞尘域下载为础笔碍。
Zscaler从该域中检测到了其他APK下载请求。Zscaler称, UC Browser和UC Mini所采用的策略使任何恶意应用程序都有可能进入用户设备。Zscaler总结道,由于UC浏览器的下载量超过5亿,他们正在使用户面临风险,这是一个重大威胁。
投诉侵权
