按谷歌應用商店開發者政策所有應用不得通過商店以外渠道下載安裝包同時也不得使用明文協議進行不安全通信。
移動瀏覽器市場佔有率名列前茅的 UC 瀏覽器日前被研究人員發現嚴重違規谷歌開發者政策給用戶帶來安全風險。
研究人員將此問題通報給谷歌後該公司隨即進行確認,同時谷歌要求 UC 瀏覽器立即改正違規行為重新上架商店。
靜默下載其他應用安裝包:
此前 UC 瀏覽器已經因為使用熱更新技術被谷歌警告,熱更新機制會直接繞過谷歌應用商店的審核機制存在風險。
而日前有研究人員發現 UC 瀏覽器竟然靜默下載安裝包,更讓人詫異的是該瀏覽器下載的還是別的應用的安裝包。
更讓人想不到的是雖然這些安裝包被靜默下載到外部存儲,但實際上 UC 瀏覽器並未直接執行命令安裝對應程序。
同時下載地址指向印度某個第三方的應用商店,目前尚不清楚這個應用商店是否屬於 UC 或與該公司存在關聯等。
使用明文協議下載內容:
儘管研究人員暫時還無法確定 UC 瀏覽器的真實意圖,不過測試時還發現所有下載連接均通過明文協議進行傳輸。
經常通過某些網站下載應用的用戶應該知道運營商劫持會直接識別APK後綴然後將其替換推廣的商店或應用程序。
所以現在絕大多數應用商店和網站都部署加密連接應對運營商劫持,但 UC 瀏覽器採用的連接依然還是明文協議。
明文協議很容易遭到中間人劫持並在 UC 瀏覽器下載安裝包時將其替換為惡意軟件,這會給用戶造成極高的風險。
谷歌發出警告並要求UC立即整改:
研究人員將此問題通報給谷歌後該公司隨即確認問題 , 存在明文下載其他安裝包的包括 UC 瀏覽器和UC Mini版。
谷歌與 UC 瀏覽器聯繫後要該瀏覽器立即更新應用程序並糾正違反開發者政策的行為,當前上架版本已恢復正常。
不過到現在為止仍然不清楚 UC 靜默下載安裝包及只下載不安裝的具體原因,或許這是在測試某些新的推廣功能。
但無論如何未經用戶同意私自下載其他應用安裝包都是不應該的,目前 UC 瀏覽器官方尚未就此事發布任何聲明。
關注藍點網頭條號不迷路,Windows 10、科技資訊、軟件工具、技術教程,盡在藍點網。藍點網,給你感興趣的內容!感謝打賞支持!
閱讀更多 藍點網 的文章
