斯诺登爆美情报人员利用UC浏览器漏洞及Google Play下载服务来截获信息
棱镜门事件主角斯诺登日前爆料了一份新的文件。
根据文件所述,美及其盟国计划截获Android智能手机与Google Play之间的通信数据,通过中间人劫持的手段来插入恶意软件从而达到监控的目的。
被称为“刺耳号角”的项目,不仅劫持Google Play的数据,还劫持三星智能手机与其应用商店之间的数据,进行植入恶意软件的目的。
这种中间人的攻击手段,通过修改移动设备与应用商店之间的数据连接,将恶意软件随数据流植入移动设备,从而达到不被发现的目的。
而这些恶意软件主要是被情报人员在用户不知情的情况下获取通话记录、文件、短信、网页浏览记录及电子邮件等等。
另外情报人员还发现来自中国的UC浏览器移动版存在隐私方面的漏洞,他们通过UC浏览器的漏洞来获取一些他们感兴趣的信息。
UC浏览器在中国及亚非地区拥有庞大的用户群,故可收集到大量的用户信息。
后阿里巴巴声明,UC浏览器新版已修复上述漏洞,并采取HTTPS加密的方式来上传用户数据,故我们可以猜测UC浏览器此前一直是使用明文HTTP进行数据传输,而明文传输意味着安全性大大降低。
出人意料的是,美情报人员竟然会使用UC浏览器的这种漏洞进行获取信息。
事实上在中国,绝大多数APP都会“超出其使用范围的”获取用户数据,例如一款小说阅读APP就可能会收集用户的手机号码、位置、手机串号甚至通讯录、短信、通话记录等极其隐私的数据,而这些数据很多都是通过明文传输至开发者的服务器。
目前Google和三星还没有回应该事件。话说你对你安装的APP权限仔细看过吗?