按谷歌应用商店开发者政策所有应用不得通过商店以外渠道下载安装包同时也不得使用明文协议进行不安全通信,移动浏览器市场占有率名列前茅的 UC 浏览器日前被研究人员发现严重违规谷歌开发者政策给用户带来安全风险,研究人员将此问题通报给谷歌后该公司随即进行确认,同时谷歌要求 UC 浏览器立即改正违规行为重新上架商店。
此前 UC 浏览器已经因为使用热更新技术被谷歌警告,热更新机制会直接绕过谷歌应用商店的审核机制存在风险。
而日前有研究人员发现 UC 浏览器竟然静默下载安装包,更让人诧异的是该浏览器下载的还是别的应用的安装包。
更让人想不到的是虽然这些安装包被静默下载到外部存储,但实际上 UC 浏览器并未直接执行命令安装对应程序。
同时下载地址指向印度某个第三方的应用商店,目前尚不清楚这个应用商店是否属于 UC 或与该公司存在关联等。
尽管研究人员暂时还无法确定 UC 浏览器的真实意图,不过测试时还发现所有下载连接均通过明文协议进行传输。
经常通过某些网站下载应用的用户应该知道运营商劫持会直接识别APK后缀然后将其替换推广的商店或应用程序。
所以现在绝大多数应用商店和网站都部署加密连接应对运营商劫持,但 UC 浏览器采用的连接依然还是明文协议。
明文协议很容易遭到中间人劫持并在 UC 浏览器下载安装包时将其替换为恶意软件,这会给用户造成极高的风险。
研究人员将此问题通报给谷歌后该公司随即确认问题 , 存在明文下载其他安装包的包括 UC 浏览器和UC Mini版。
谷歌与 UC 浏览器联系后要该浏览器立即更新应用程序并纠正违反开发者政策的行为,当前上架版本已恢复正常。
不过到现在为止仍然不清楚 UC 静默下载安装包及只下载不安装的具体原因,或许这是在测试某些新的推广功能。
但无论如何未经用户同意私自下载其他应用安装包都是不应该的,目前 UC 浏览器官方尚未就此事发布任何声明。
网友评论(共有 0 条评论)