Net Alert

警报关于詞彙表

Alert!
UC浏览器泄漏用户数据

选择语言

English

Research Summary

UC浏览器

UC Browser Logo 全球使用量最大之一的网页浏览器没有对用户信息传输进行保护，这使得用户个人数据面临被罪犯和情报机构收集的潜在危险。

UC Snowden UC浏览器在中国、印度和印尼等地倍受欢迎。斯诺登所披露的机密文件显示，UC浏览器的安全漏洞曾被间谍机构利用。

本研究发现UC浏览器的两个安全问题。

UC浏览器没有安全地传输敏感性个人数据。

绝大多数应用程序的隐私条款都声称它们会采取必要步骤以保护用户的个人信息，如用户的地理位置、浏览历史、所用设备等能曝光他们真实身份的信息。其中，对数据传输过程的保护尤为重要。数据在从我们的手机传输到目的地的过程中需要经过互联网中的许多接入点，在这其中的任何一个接入点上，如果我们的数据没有被安全地传输，就有可能被潜在的罪犯或间谍收集。

UC浏览器使用弱加密算法，有时候甚至以不加密的形式传输用户输入网页地址、搜索关键词时的按键记录，或者用户的地理定位信息。这个传输过程往往包括设备标识符等敏感信息，这些信息使个人或机构能轻易地收集、分析某一受追踪用户的数据流，并随着时间推移建立起包含其兴趣爱好、上网行为等的庞大用户档案。

老版UC浏览器的软件升级过程存在漏洞。

我们升级软件时会下载新的代码以应用到程序中。软件方应检查该代码的加密签名以验证代码提供方的身份，从而确保该下载可信。这个步骤可以帮助防止黑客用恶意程序替换实际代码。

10.2.1以前版本的UC浏览器的升级过程中有一部分使用了弱加密算法，这使得用户面临着被罪犯和间谍恶意攻击的危险，后者可以通过这些攻击控制用户的设备。这个漏洞在往后版本的UC浏览器中已被修复，然而，基于斯诺登披露的文件，我们有理由怀疑该漏洞已被相关情报机构利用，并向目标用户的手机植入恶意软件。

关注这些安全问题的UC浏览器用户应考虑更换使用谷歌、火狐、手机Safari等浏览器。用户应从这些公司的官方网站或者可信任的应用程序商店上下载相应软件，并确保在家中或其他可信任的网络下进行下载。

阅读研究报告全文。本研究由 Jeffrey Knockel, Adam Senft 及 Ron Deibert 完成。