0×01 問題概要

UC瀏覽器是中國和印度地區(qū)最為流行的web瀏覽器，也是全球第四大移動瀏覽器，僅次于chrome、Android瀏覽器和Safari瀏覽器，目前擁有超過5億的用戶群。加拿大多倫多大學公民實驗室一直在調查研究這款亞洲地區(qū)較為流行的通信工具，通過調查比較中文版UC瀏覽器和英文版UC瀏覽器，發(fā)現(xiàn)中文版UC瀏覽器會收集并發(fā)送用戶的隱私數(shù)據(jù)，而英文版則不會。

個人驗證信息和查詢請求在傳輸過程中沒有被加密：

1.用戶數(shù)據(jù)(IMSI、IMEI、Android ID、WiFi MAC地址)未經加密被發(fā)送到阿里巴巴分析工具Umeng上;

2.用戶的位置數(shù)據(jù)(經度/緯度、街道名稱)未經加密被阿里巴巴地圖工具AMAP發(fā)送出去;

3.用戶的查詢請求未經加密被發(fā)送到Shenma(中文版)、yahoo、谷歌(英文版)等搜索引擎上;

即使清理了應用程序上的緩存，用戶的隱私信息還是會保留在緩存里，第三方還是可以訪問用戶的數(shù)據(jù)。

加拿大公民實驗室的研究人員于2015年4月15將這一發(fā)現(xiàn)報告給了阿里巴巴和UCWeb，并說明了將會在4月29日或者之后公開這一發(fā)現(xiàn)。阿里巴巴于4月19日給予了回復，稱公司安全工程師正在調查研究這一問題。研究人員于23日又向他們重申了要在29日之后公開問題詳情，但是阿里巴巴和UC均未給予任何回復。

研究人員在19日又測試了一下10.4.1-576版本的UC瀏覽器(中文版，從UC官網(wǎng)上下載的)，沒有發(fā)現(xiàn)瀏覽器會向AMAP發(fā)送未經加密的數(shù)據(jù)，但仍然會向Umeng組件傳輸未經加密的數(shù)據(jù)，而且查詢搜索數(shù)據(jù)也仍然未加密。建議使用UC瀏覽器中文版的用戶應盡快更新到10.4.1-576及其更高的版本。

0×02 UC瀏覽器簡介

UC瀏覽器是UCWeb Inc.開發(fā)的明***移動瀏覽器，目前覆蓋了Android、iOS、windows phone、windows mobile等主流操作系統(tǒng)。UC公司成立于2004年，后被阿里巴巴合并，聯(lián)合開發(fā)出了一款Shenma搜索引擎。

作為全球第四大瀏覽器，UC瀏覽器每天的活躍用戶達1億人次。UC瀏覽器主頁上會默認顯示一些常用的搜索引擎、社交媒體網(wǎng)站、天氣信息、新聞和購物信息等。擁有***的U3內核和云端架構，支持HTML5應用，支持語音搜索。#p#

0×03 方法和技術分析

通過分析某些中文版UC瀏覽器和英文版UC瀏覽器(均為安卓版)的構架、移動網(wǎng)絡數(shù)據(jù)和WiFi流量、數(shù)據(jù)的保留和刪除功能，研究人員發(fā)現(xiàn)了一些較為嚴重的安全問題。下圖中形象的展示了中文版UC瀏覽器存在的安全問題：

測試裝置

為了檢測UC瀏覽器的安全和隱私功能，我們測試了一些中文版本和英文版本的瀏覽器。因為我們對瀏覽器傳輸個人身份信息時是否加密十分的感興趣，所以就監(jiān)控了瀏覽器向內部服務器傳輸?shù)臄?shù)據(jù)。

我們了測試安卓模擬器和安卓手機，并用抓包工具WireShark抓取了所有發(fā)送出去的和收到的流量。隨后用反編譯工具APKtool反編譯了從瀏覽器上下載的APK文件，然后分析了和用戶數(shù)據(jù)傳輸功能相關的代碼。

版本分析

被分析的UC瀏覽器均為安卓系統(tǒng)的瀏覽器，但是從不同的應用商店下載的：中文版的UC瀏覽器是2015年3月從小米應用商店下載的，英文版是2015年5月直接從官網(wǎng)上下載的。除了語言不同外，中文版默認的神馬搜索引擎，而英文版默認的是雅虎(印度)和谷歌搜索引擎;中文版主頁上顯示的是百度、新浪微博、優(yōu)酷等，而英文版主頁上顯示的是Google、Facebook、twitter等。

在安裝瀏覽器時，應用程序會給予一個隱私保護聲明。在聲明中值得注意的是，瀏覽器會要求訪問和收集用戶的設備信息、日志信息、位置信息。收集信息并不可怕，但是中文版的UC瀏覽器收集了這些信息之后并不能安全的傳輸。#p#

3.1 10.2.1-161版本的中文版UC瀏覽器

中文版本UC瀏覽器測試結果如下表：

而英文版的瀏覽器不會發(fā)送設備相關識別碼和WiFi的MAC地址。

1.僅在移動網(wǎng)絡下測試中文版UC瀏覽器

在打開瀏覽器的前270秒內，它會通過HTTP與以下主機進行通信：

發(fā)送到AMAP的數(shù)據(jù)很容易解密

正如上圖中顯示的，大部分通信都是發(fā)生在應用程序和 apilocate.amap.com之間。進一步分析這些通信會發(fā)現(xiàn)，在應用程序和apilocate.amap.com之間存在一個很明顯的數(shù)據(jù)交換：

鑒于對二者之間傳輸?shù)臄?shù)據(jù)很感興趣，于是我們使用一個免費工具pyhttpextract破譯了編碼數(shù)據(jù)塊，然后就發(fā)現(xiàn)了如下的交換數(shù)據(jù)：

編碼的數(shù)據(jù)是以‘’的結構發(fā)送的，并且數(shù)據(jù)很大，所以我們懷疑里面會包含用戶的數(shù)據(jù)。為了要證明里面是否包含了用戶數(shù)據(jù)，我們首先要先解密這一數(shù)據(jù)塊。這時就又用到了解密工具apktool。破譯之后，我們在com/aps分類相關的目錄中找到了‘sreq’字符串。因為com/aps/*目錄序列化了‘’，所以我們下一步就是要看看哪一個.smali文件(安卓系統(tǒng)使用的代碼格式)被譯成了.java文件名：

我們在Aes.java文件中搜尋被加密的應用程序組件，而這一文件使用的是對稱AES/CBC加密方式(使用的是硬編碼密鑰‘autonavi_amaploc’)。加密過程如下圖：

使用硬編碼對稱加密方式意味著所有知道密鑰的人都可以解密中文版UC瀏覽器的流量，而且密鑰的持有者還可以解密所有之前的數(shù)據(jù)。

我們使用的是標準的AES解密工具來解密‘’數(shù)據(jù)的，為的就是演示要想解密之前的數(shù)據(jù)也是可以的。格式化數(shù)據(jù)為可讀模式：

發(fā)送到apilocate.amap.com數(shù)據(jù)中含有很多設備及其相關的標識符。設備標識符：IMSI、IMEI、和中文版UC瀏覽器相關的用戶數(shù)據(jù);移動網(wǎng)絡塔信息：移動國家代碼(MCC)、移動網(wǎng)絡代碼(MNC)、位置區(qū)域代碼(LAC)，移動網(wǎng)絡塔ID和信號強度。通過這些信息完全可以識別出設備、設備使用者和設備的位置。

發(fā)送位置信息之后，應用程序會收到一個未加密的回復，包括用戶的經度/緯度(如下圖中的‘cenx’ 和 ‘ceny’字段)和所在街道的名稱。如下圖：

比如我們通過上述信息成功的定位到了我們實驗室所在的位置：

通過上述的分析我們越來越相信AMAP就是中文版UC瀏覽器的一個組件。#p#

向Umeng傳輸未加密的數(shù)據(jù)

正如圖5中顯示的那樣，中文版UC瀏覽器會定期的和utop.umengcloud.com、upoll.umengcloud.com 聯(lián)系。發(fā)送的信息如下：

上述信息中包含了一些個人標識符，如IMEI、IMSI、設備Android ID(’c6’)和構架序列號(’c5’)。

2.在WiFi網(wǎng)絡下測試UC瀏覽器

向AMAP發(fā)送的數(shù)據(jù)很容易被解密

連接上WiFi，開啟應用程序，使其空閑270秒，瀏覽器同樣會發(fā)送易解密的數(shù)據(jù)。然而，應用程序除了會發(fā)送附近WiFi訪問節(jié)點的數(shù)據(jù)外，還會發(fā)送它們的MAC地址。

向Umeng發(fā)送未加密的數(shù)據(jù)

當連接到WiFi網(wǎng)絡時，用戶的個人數(shù)據(jù)就被以未加密的方式發(fā)送給了Umeng。當然除了IMEI、IMSI外，還會發(fā)送設備的WiFi MAC地址。

將上圖中的代碼轉換成可讀模式：

測試中文版UC瀏覽器的搜索功能

中文版的UC瀏覽器使用的是神馬搜索引擎，輸入的搜索查詢詞是不會被加密的：

刪除瀏覽器的數(shù)據(jù)

UC瀏覽器是有刪除隱私信息選項的，用戶可以刪除瀏覽器上的cookies和歷史記錄。但是，即便用戶刪除了自己的隱私數(shù)據(jù)，應用程序的DNS查找記錄仍然存在，也就是說沒有從真正的意義上刪除數(shù)據(jù)。

 #p#

3.2英文版UC瀏覽器(10.4.1.565)

被測試的瀏覽器版本為10.4.1.565，是直接從官網(wǎng)上下載的。和中文版的瀏覽器測試過程一樣，先是空閑測試(移動網(wǎng)絡和WiFi網(wǎng)絡)、搜索、數(shù)據(jù)存儲。空閑測試階段沒有發(fā)現(xiàn)任何問題，設備不會傳輸任何的信息。

搜索

英文版的搜索方式有兩種：一種是點擊右上方的“搜索”按鈕;第二種是在左上方的地址欄中直接輸入查詢語句。

通過研究發(fā)現(xiàn)英文版的UC瀏覽器也會向yahoo發(fā)送未加密的數(shù)據(jù)：

另外，在查詢欄的左邊會出現(xiàn)綠色標識符

這一綠色的標識符可能就會使用戶放心，因為出現(xiàn)綠色的標識符就說明用戶的查詢被加密了，其實不然。

接下來我們在地址欄中輸入了一個查詢語句，而這一搜索未經加密就被發(fā)送到了Google：

英文版的UC瀏覽器并不會存儲DNS查詢數(shù)據(jù)，也就說如果用戶自己刪除了上網(wǎng)記錄，那瀏覽器上就不會再有任何的用戶信息了。

0×04 總結

經過我們的研究發(fā)現(xiàn)，這兩個版本的瀏覽器均會將用戶信息泄露給第三方，但是就安全和隱私方面考慮，中文版的UC瀏覽器更為嚴重。雖然在中國和印度政府有權利獲得通信公司、移動網(wǎng)絡廠商、網(wǎng)吧的流量數(shù)據(jù)，但是UC瀏覽器的這一問題很可能會被一些人非法利用。

阿里***回應：UC瀏覽器新版本已修復數(shù)據(jù)傳輸風險

5月22日消息，據(jù)國外媒體報道阿里巴巴旗下UC瀏覽器存在信息傳輸加密安全風險。阿里巴巴對此回應稱對安全問題高度重視，UC瀏覽器已在***時間提高信息安全加密級別，不再存在報道中提及的風險。目前應用商店上的UC瀏覽器***版本，相關信息已經改為安全級別更高的HTTPS加密方式傳輸。事實上，該媒體援引加拿大公民實驗室報告中提到的信息傳輸加密風險，在國內并非個案，目前國內大部分互聯(lián)網(wǎng)公司均在信息傳輸加密上存在問題。