超过6亿用户的流行uc浏览器和uc浏览器mini-android应用程序通过未受保护的渠道从第三方服务器下载android包套件(apk),受到中间人(mitm)攻击。
据StatCounter统计,UC浏览器是由UCWeb开发的,UCWeb是阿里巴巴集团自2014年以来拥有的一家公司,是全球第四大最受欢迎的移动浏览器。
zscaler的研究人员正在调查一项不寻常的活动,他们发现了一些与某个特定域(9apps下载)的可疑连接。这些请求是由流行的浏览器应用程序发出的。
进一步的调查使研究人员能够确定uc浏览器应用程序正试图通过一个不安全的通道(http over https)下载一个额外的android包工具包(apk)。这种做法违反了google play的策略,使用不安全的频道会让用户面临中间人攻击。使用不安全的通道可能允许攻击者在目标设备上传递和安装任意负载,以执行广泛的恶意活动。
对apk的分析显示,它在名为9apps的第三方应用程序商店上可用,其名称为com.mobile.indiapp包。
一旦安装到设备上,9apps应用程序便开始扫描已安装的应用程序,并允许从第三方应用程序商店安装更多应用程序,这些应用程序作为apk从9appsdownloading[.]com域下载。
研究人员还指出,在外部存储器(/storage/emulated/0)上删除一个apk可以允许其他具有适当权限的应用程序篡改apk。
zscaler于8月13日向谷歌分享了其调查结果,有关潜在违规行为的讨论一直持续到9月25日。
9月27日,谷歌承认了这些问题,并向ucweb报告,要求开发团队“更新应用程序并纠正违反政策的行为”,ucweb在其应用程序中解决了这些问题。
“现在确定浏览器开发人员使用第三方APK的具体意图还为时过早,但很明显,他们正在给用户带来风险。而UC浏览器的下载量超过5亿次,这是一个巨大的威胁。
“由于uc浏览器通过不安全的渠道将未知的第三方应用程序下载到设备上,这些设备可能成为中间人(mitm)攻击的受害者。使用MITM,攻击者可以监视设备并拦截或更改其通信,
今年5月,安全研究员阿里夫汗(arif khan)发现了android浏览器应用程序中流行的浏览器地址栏欺骗漏洞。
