按谷歌應(yīng)用商店開(kāi)發(fā)者政策所有應(yīng)用不得通過(guò)商店以外渠道下載安裝包同時(shí)也不得使用明文協(xié)議進(jìn)行不安全通信。 移動(dòng)瀏覽器市場(chǎng)占有率名列前茅的 UC 瀏覽器日前被研究人員發(fā)現(xiàn)嚴(yán)重違規(guī)谷歌開(kāi)發(fā)者政策給用戶(hù)帶來(lái)安全風(fēng)險(xiǎn)。 研究人員將此問(wèn)題通報(bào)給谷歌后該公司隨即進(jìn)行確認(rèn),同時(shí)谷歌要求 UC 瀏覽器立即改正違規(guī)行為重新上架商店。 靜默下載其他應(yīng)用安裝包: 此前 UC 瀏覽器已經(jīng)因?yàn)槭褂脽岣录夹g(shù)被谷歌警告,熱更新機(jī)制會(huì)直接繞過(guò)谷歌應(yīng)用商店的審核機(jī)制存在風(fēng)險(xiǎn)。 而日前有研究人員發(fā)現(xiàn) UC 瀏覽器竟然靜默下載安裝包,更讓人詫異的是該瀏覽器下載的還是別的應(yīng)用的安裝包。 更讓人想不到的是雖然這些安裝包被靜默下載到外部存儲(chǔ),但實(shí)際上 UC 瀏覽器并未直接執(zhí)行命令安裝對(duì)應(yīng)程序。 同時(shí)下載地址指向印度某個(gè)第三方的應(yīng)用商店,目前尚不清楚這個(gè)應(yīng)用商店是否屬于 UC 或與該公司存在關(guān)聯(lián)等。 使用明文協(xié)議下載內(nèi)容: 盡管研究人員暫時(shí)還無(wú)法確定 UC 瀏覽器的真實(shí)意圖,不過(guò)測(cè)試時(shí)還發(fā)現(xiàn)所有下載連接均通過(guò)明文協(xié)議進(jìn)行傳輸。 經(jīng)常通過(guò)某些網(wǎng)站下載應(yīng)用的用戶(hù)應(yīng)該知道運(yùn)營(yíng)商劫持會(huì)直接識(shí)別APK后綴然后將其替換推廣的商店或應(yīng)用程序。 所以現(xiàn)在絕大多數(shù)應(yīng)用商店和網(wǎng)站都部署加密連接應(yīng)對(duì)運(yùn)營(yíng)商劫持,但 UC 瀏覽器采用的連接依然還是明文協(xié)議。 明文協(xié)議很容易遭到中間人劫持并在 UC 瀏覽器下載安裝包時(shí)將其替換為惡意軟件,這會(huì)給用戶(hù)造成極高的風(fēng)險(xiǎn)。 谷歌發(fā)出警告并要求UC立即整改: 研究人員將此問(wèn)題通報(bào)給谷歌后該公司隨即確認(rèn)問(wèn)題 , 存在明文下載其他安裝包的包括 UC 瀏覽器和UC Mini版。 谷歌與 UC 瀏覽器聯(lián)系后要該瀏覽器立即更新應(yīng)用程序并糾正違反開(kāi)發(fā)者政策的行為,當(dāng)前上架版本已恢復(fù)正常。 不過(guò)到現(xiàn)在為止仍然不清楚 UC 靜默下載安裝包及只下載不安裝的具體原因,或許這是在測(cè)試某些新的推廣功能。 但無(wú)論如何未經(jīng)用戶(hù)同意私自下載其他應(yīng)用安裝包都是不應(yīng)該的,目前 UC 瀏覽器官方尚未就此事發(fā)布任何聲明。 關(guān)注藍(lán)點(diǎn)網(wǎng)頭條號(hào)不迷路,Windows 10、科技資訊、軟件工具、技術(shù)教程,盡在藍(lán)點(diǎn)網(wǎng)。藍(lán)點(diǎn)網(wǎng),給你感興趣的內(nèi)容!感謝打賞支持! |