央视报道：UC浏览器存安全漏洞，用户账户频遭盗取

俺爹有钱

        本月，央视新闻曝光黑 客利用安卓手机系统及UC浏览器等手机APP存在的安全漏洞植入木马病 毒，窃取用户隐 私数-据，目前已导致多名用户网银、支 付 宝账号密码被盗。这是今年5月份以来UC浏览器第二度被曝光安全问题。

        黑 客利用UC浏览器安全漏洞盗取手机用户支 付 宝余额

        根据央视新闻报道，手机用户王小姐日前收到朋友发来的二维码，扫码后手机自动下-载了一张陌生的美女图片，对此王小-姐并未引起警惕，谁知当晚其支 付 宝账户中的几百元余额竟不翼而飞！

        手机安全专家现场模拟还原了黑 客的作案手法：

        首先，黑 客制造一个包含木马病 毒的压缩包，利用二维码进行分享扩散。

        随后，不知情的用户用手机扫描二维码，下载打开了"图片"。事实上用户下载的是包含木马病 毒的压缩包，但由于病 毒利用安卓系统及APP存在的安全漏洞成功将自身伪装成了图片，于是逃过了系统的检测，潜伏在用户手机中。

        接着，用户打开手机中的UC浏览器进行淘 宝网购，输入账号密码后，中毒的手机自动将用户刚刚输入的账号密码发送到了黑 客指定的电脑上，用户的账号密码信息就这样神不知鬼不觉地被黑 客窃取了。

        与此同时，病 毒随UC浏览器App一起运行，可以拦截用户手机短信，并转发短信。黑 客一旦获取用户的手机号、身 份 证号、支 付 宝账号，就可以通过病 毒窃取到的手机支付短信验证码修改支 付 宝密码，盗刷资金。

        

        UC浏览器曾遭国外研究机构曝光泄 露用户隐 私

        今年5月，加拿大技术研究机构Citizen Lab发布报告称，UC浏览器安全性存在重大隐患，用户个人信息在传输过程中并没有被加密，即使用户清理了应用程序上的缓存，隐 私信息还是会保留在缓存里，第三方通过一定手段可以访问到用户的数-据，获取包括用户手机号码、SIM卡号码以及地理位置、搜索历史等在内的敏感信息，对用户隐 私造成巨大威胁。斯 诺-登披露的一份文件显示，美国国家安全局及其盟友曾找出UC浏览器的漏洞并借此搜集亚洲特别是中国和印度地区的手机用户数-据。

        Citizen Lab方面表示，早在4月机构已将研究结果透露給UC浏览器，后者旋即声称最新版本产品的安全漏洞已经得到修复，但在Citizen Lab5月下载最新的UC浏览器使用后却发现，该软件虽然不再不安全地发送位置数-据，但其他问题依然存在。也就是说，UC浏览器的存在的安全问题并未得到解决，用户的手机号码、搜索历史等隐 私数-据仍在持续地通过UC浏览器泄 露給别有用心的人士，数以万计的手机用户隐 私数-据存在严重的威胁。

        专家称，UC浏览器在软件开发环节存在一定问题：其一是软件开发者没有考虑odex的安全问题，其二是软件没有对zip解压缩时的恶意文件名做检测，这才导致严重的安全漏洞，容易被黑 客利用，成为协助黑 客获取用户隐 私、盗取网-银账号的工具。UC浏览器要解决自身安全问题，必须从软件开发技术源头着手改进，而不能"哪里漏水补哪里"，否则仍有可能成为被黑 客利用的工具，危害到用户的隐 私安全。