[更新]UC浏览器又因为没有使用HTTPS传输而被国外安全公司点名批评

内容更新:UC浏览器官方向蓝点网发布声明称:国际版已修复相关问题,国内版UC浏览器不存在此安全问题。


按照谷歌应用商店的开发者规则应用程序开发商不得绕过谷歌检测机制而通过自建服务器下载代码和更新模块。

当然这种即我们常说的热更新并且热更新在国内应该是很流行的方式,所以作为国内的科技媒体咱也见怪不怪。

全球拥有6亿用户的UC浏览器也使用这种方式更新某些模块,而且还是在谷歌应用商店的版本利用这种热更新。

直接违反谷歌开发者政策:

国外安全公司Dr.Web即大蜘蛛在日常检测时发现,UC浏览器谷歌商店版本利用内置更新服务器提供动态更新。

这个动态更新既可以用来为 UC 浏览器提供新功能模块也可以直接更新浏览器版本,但这是违反开发者政策的。

不论是苹果还是谷歌之所以禁止热更新主要就是担心开发者会绕过检查机制而直接向用户推送恶意软件或模块。

所以本身禁止热更新也是基于安全考虑并没有什么不妥,绕过应用商店检查自然也是明知违规而又刻意而为的。

UC 浏览器下发的命令是通过加密传输的,但浏览器本身与指令服务器连接是明文传输而可能遭到中间人劫持。

UC浏览器又因为没有使用HTTPS加密传输而被国外安全公司点名批评

又不差钱使用HTTPS加密能死?

之所以本文标题使用的是「又」那是因为 UC 浏览器在几年前已经因收集用户数据还明文传输被间谍机构利用。

热更新在国内见怪不怪所以小编表示此事还是淡定的,但不能淡定的是又不差钱怎么就不能全程使用加密传输?

大蜘蛛批评 UC 浏览器并不只是该浏览器提供热更新,而是热更新加载的动态模块可执行因此也容易遭到利用。

如果不加密传输意味着用户可能会遭到中间人攻击,恶意攻击者通过劫持 UC 浏览器服务器那就能向用户投毒。

例如直接伪造升级包实际就是病毒推送给用户,然后直接通过 UC 浏览器执行用户还不会发现任何的异常情况。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
agape_tttopgamer
扫码关注蓝点网微信公众号

发表评论