本月，央視新聞曝光黑客利用安卓手機(jī)系統(tǒng)及UC瀏覽器等手機(jī)APP存在的安全漏洞植入木馬病毒，竊取用戶隱私數(shù)據(jù)，目前已導(dǎo)致多名用戶網(wǎng)銀、支付寶賬號(hào)密碼被盜。這是今年5月份以來(lái)UC瀏覽器第二度被曝光安全問(wèn)題。

[[139444]]

黑客利用UC瀏覽器安全漏洞盜取手機(jī)用戶支付寶余額

根據(jù)央視新聞報(bào)道，手機(jī)用戶王小姐日前收到朋友發(fā)來(lái)的二維碼，掃碼后手機(jī)自動(dòng)下載了一張陌生的美女圖片，對(duì)此王小姐并未引起警惕，誰(shuí)知當(dāng)晚其支付寶賬戶中的幾百元余額竟不翼而飛!

手機(jī)安全專家現(xiàn)場(chǎng)模擬還原了黑客的作案手法：

首先，黑客制造一個(gè)包含木馬病毒的壓縮包，利用二維碼進(jìn)行分享擴(kuò)散。

隨后，不知情的用戶用手機(jī)掃描二維碼，下載打開了“圖片”。事實(shí)上用戶下載的是包含木馬病毒的壓縮包，但由于病毒利用安卓系統(tǒng)及APP存在的安全漏洞成功將自身偽裝成了圖片，于是逃過(guò)了系統(tǒng)的檢測(cè)，潛伏在用戶手機(jī)中。

接著，用戶打開手機(jī)中的UC瀏覽器進(jìn)行淘寶網(wǎng)購(gòu)，輸入賬號(hào)密碼后，中毒的手機(jī)自動(dòng)將用戶剛剛輸入的賬號(hào)密碼發(fā)送到了黑客指定的電腦上，用戶的賬號(hào)密碼信息就這樣神不知鬼不覺(jué)地被黑客竊取了。

與此同時(shí)，病毒隨UC瀏覽器App一起運(yùn)行，可以攔截用戶手機(jī)短信，并轉(zhuǎn)發(fā)短信。黑客一旦獲取用戶的手機(jī)號(hào)、身份證號(hào)、支付寶賬號(hào)，就可以通過(guò)病毒竊取到的手機(jī)支付短信驗(yàn)證碼修改支付寶密碼，盜刷資金。

UC瀏覽器曾遭國(guó)外研究機(jī)構(gòu)曝光泄露用戶隱私

今年5月，加拿大技術(shù)研究機(jī)構(gòu)Citizen Lab發(fā)布報(bào)告稱，UC瀏覽器安全性存在重大隱患，用戶個(gè)人信息在傳輸過(guò)程中并沒(méi)有被加密，即使用戶清理了應(yīng)用程序上的緩存，隱私信息還是會(huì)保留在緩存里，第三方通過(guò)一定手段可以訪問(wèn)到用戶的數(shù)據(jù)，獲取包括用戶手機(jī)號(hào)碼、SIM卡號(hào)碼以及地理位置、搜索歷史等在內(nèi)的敏感信息，對(duì)用戶隱私造成巨大威脅。斯諾登披露的一份文件顯示，美國(guó)國(guó)家安全局及其盟友曾找出UC瀏覽器的漏洞并借此搜集亞洲特別是中國(guó)和印度地區(qū)的手機(jī)用戶數(shù)據(jù)。

Citizen Lab方面表示，早在4月機(jī)構(gòu)已將研究結(jié)果透露給UC瀏覽器，后者旋即聲稱最新版本產(chǎn)品的安全漏洞已經(jīng)得到修復(fù)，但在Citizen Lab5月下載最新的UC瀏覽器使用后卻發(fā)現(xiàn)，該軟件雖然不再不安全地發(fā)送位置數(shù)據(jù)，但其他問(wèn)題依然存在。也就是說(shuō)，UC瀏覽器的存在的安全問(wèn)題并未得到解決，用戶的手機(jī)號(hào)碼、搜索歷史等隱私數(shù)據(jù)仍在持續(xù)地通過(guò)UC瀏覽器泄露給別有用心的人士，數(shù)以萬(wàn)計(jì)的手機(jī)用戶隱私數(shù)據(jù)存在嚴(yán)重的威脅。

專家稱，UC瀏覽器在軟件開發(fā)環(huán)節(jié)存在一定問(wèn)題：其一是軟件開發(fā)者沒(méi)有考慮odex的安全問(wèn)題，其二是軟件沒(méi)有對(duì)zip解壓縮時(shí)的惡意文件名做檢測(cè)，這才導(dǎo)致嚴(yán)重的安全漏洞，容易被黑客利用，成為協(xié)助黑客獲取用戶隱私、盜取網(wǎng)銀賬號(hào)的工具。UC瀏覽器要解決自身安全問(wèn)題，必須從軟件開發(fā)技術(shù)源頭著手改進(jìn)，而不能“哪里漏水補(bǔ)哪里”，否則仍有可能成為被黑客利用的工具，危害到用戶的隱私安全。