- A+
尽管很多人都忽略了它,但Google声称Play商店中可用的Android应用无法通过第三方来源进行更新或修改,尽管Web应用安全专家说,可以绕过此安全措施。
一份安全报告提到,流行的UC浏览器的开发人员违反了此安全策略,由于下载了第三方APK,该策略导致其50万以上的用户受到中间人 (MiTM)攻击使用不安全的渠道。 如前几次所述,当黑客以恶意动机渗透两方之间的通信时,就会发生MiTM攻击。
该报告由ThreatLabZ的Web应用程序安全研究人员编写,该报告提到UC浏览器一直在向用户发送请求,要求从外部域将其他Android软件包工具包(APK)下载到Play商店(9appsdownloading <。> com)。 UC Browser Mini是该公司的另一项发展,它也有超过1亿的下载量,也一直在发送这些请求。
专家声称,该公司确实将这些额外的APK下载到了受害人的外部存储单元,尽管它尝试将软件包安装到设备上失败了,可能是因为该APK仍在开发中。 防止在Android上从未知来源安装软件的功能也可能会影响此行为。
但是,即使未成功安装APK,Web应用程序安全专家也声称Android设备用户仍然有风险,因为该APK是通过不安全的渠道下载的。
这不是UC浏览器第一次公开此操作系统用户的安全性。 几个月前,国际网络安全研究所(IICS)的Web应用程序安全专家报告说,存在与UC浏览器相关的类似活动,该浏览器从一家未知公司控制的服务器上下载了可执行的Linux库。
当时,专家试图与开发商公司联系,但开发商拒绝发表声明。 尽管Google也收到了有关这种做法的警报,但从未停止在Play商店中使用这些应用。 尽管存在这些安全缺陷,但UC Browser仍然是移动浏览器的领先公司之一。
