(资料图)

如果您是使用阿里巴巴UC浏览器的数百万用户之一，那么您可能暂时想停止。使用Web Anti-Virus博士的研究人员发现，UC浏览器能够绕过Google Play的服务器来下载其他软件模块和库，从而可能允许下载恶意代码。不必担心阿里巴巴拥有的UCWeb会将恶意软件加载到用户设备上，但是它保护命令服务器的方式为其他人打开了大门。

UC浏览器接收这些附加库的方式存在许多问题。首先，绕过Google的服务器和验证过程显然违反了Google Play的规则，该规则禁止该服务上托管的应用从Play商店以外的其他来源下载新组件。Web博士指出，自2016年以来，UC浏览器一直在使用这种软件交付方法，当您了解命令和控制服务器UC浏览器通过HTTP使用推送软件时，这一点尤其令人担忧。

这才是真正的麻烦所在：由于UC浏览器正在通过未加密的HTTP(而不是更安全的HTTPS)下载软件，这为中间人攻击打开了可能。黑客可能会拦截来自UC浏览器的对软件的请求，并将其用于将恶意软件推送到应用程序，从而使用户处于遭受网络钓鱼诈骗或更糟的受害者的风险中。

UC Browser也会运行它最终下载的内容，因为它不会验证新插件，即使未签名也可以运行它们。凭借5亿的下载量，此漏洞无疑使很多人处于危险之中。Web博士在其报告中指出，UC Browser Mini(可下载超过1亿次的标准UC Browser的替代产品)也容易受到相同类型的攻击。

Web博士说，它已经向应用程序作者和Google都报告了这些漏洞，但在发布报告时(实际上，在撰写本文时)，两个应用程序仍在Google Play商店中可用。在我们等待阿里巴巴回应该报告的同时，卸载UC Browser可能是一个好主意，以免使您面临上述上述中间人攻击的风险。