本月，央視新聞曝光黑客利用安卓手機系統(tǒng)及UC瀏覽器等手機APP存在的安全漏洞植入木馬病毒，竊取用戶隱私數(shù)據(jù)，目前已導致多名用戶網(wǎng)銀、支付寶賬號密碼被盜。這是今年5月份以來UC瀏覽器第二度被曝光安全問題。

[[139444]]

黑客利用UC瀏覽器安全漏洞盜取手機用戶支付寶余額

根據(jù)央視新聞報道，手機用戶王小姐日前收到朋友發(fā)來的二維碼，掃碼后手機自動下載了一張陌生的美女圖片，對此王小姐并未引起警惕，誰知當晚其支付寶賬戶中的幾百元余額竟不翼而飛!

手機安全專家現(xiàn)場模擬還原了黑客的作案手法：

首先，黑客制造一個包含木馬病毒的壓縮包，利用二維碼進行分享擴散。

隨后，不知情的用戶用手機掃描二維碼，下載打開了“圖片”。事實上用戶下載的是包含木馬病毒的壓縮包，但由于病毒利用安卓系統(tǒng)及APP存在的安全漏洞成功將自身偽裝成了圖片，于是逃過了系統(tǒng)的檢測，潛伏在用戶手機中。

接著，用戶打開手機中的UC瀏覽器進行淘寶網(wǎng)購，輸入賬號密碼后，中毒的手機自動將用戶剛剛輸入的賬號密碼發(fā)送到了黑客指定的電腦上，用戶的賬號密碼信息就這樣神不知鬼不覺地被黑客竊取了。

與此同時，病毒隨UC瀏覽器App一起運行，可以攔截用戶手機短信，并轉(zhuǎn)發(fā)短信。黑客一旦獲取用戶的手機號、身份證號、支付寶賬號，就可以通過病毒竊取到的手機支付短信驗證碼修改支付寶密碼，盜刷資金。

UC瀏覽器曾遭國外研究機構(gòu)曝光泄露用戶隱私

今年5月，加拿大技術(shù)研究機構(gòu)Citizen Lab發(fā)布報告稱，UC瀏覽器安全性存在重大隱患，用戶個人信息在傳輸過程中并沒有被加密，即使用戶清理了應用程序上的緩存，隱私信息還是會保留在緩存里，第三方通過一定手段可以訪問到用戶的數(shù)據(jù)，獲取包括用戶手機號碼、SIM卡號碼以及地理位置、搜索歷史等在內(nèi)的敏感信息，對用戶隱私造成巨大威脅。斯諾登披露的一份文件顯示，美國國家安全局及其盟友曾找出UC瀏覽器的漏洞并借此搜集亞洲特別是中國和印度地區(qū)的手機用戶數(shù)據(jù)。

Citizen Lab方面表示，早在4月機構(gòu)已將研究結(jié)果透露給UC瀏覽器，后者旋即聲稱最新版本產(chǎn)品的安全漏洞已經(jīng)得到修復，但在Citizen Lab5月下載最新的UC瀏覽器使用后卻發(fā)現(xiàn)，該軟件雖然不再不安全地發(fā)送位置數(shù)據(jù)，但其他問題依然存在。也就是說，UC瀏覽器的存在的安全問題并未得到解決，用戶的手機號碼、搜索歷史等隱私數(shù)據(jù)仍在持續(xù)地通過UC瀏覽器泄露給別有用心的人士，數(shù)以萬計的手機用戶隱私數(shù)據(jù)存在嚴重的威脅。

專家稱，UC瀏覽器在軟件開發(fā)環(huán)節(jié)存在一定問題：其一是軟件開發(fā)者沒有考慮odex的安全問題，其二是軟件沒有對zip解壓縮時的惡意文件名做檢測，這才導致嚴重的安全漏洞，容易被黑客利用，成為協(xié)助黑客獲取用戶隱私、盜取網(wǎng)銀賬號的工具。UC瀏覽器要解決自身安全問題，必須從軟件開發(fā)技術(shù)源頭著手改進，而不能“哪里漏水補哪里”，否則仍有可能成為被黑客利用的工具，危害到用戶的隱私安全。