更新时间:2026-01-28 04:21:01
开发经验
41最新版本的Android 应用UC 浏览器和UC 浏览器Mini 的安装量已超过6 亿次,安全研究人员Arif Khan 解释了该漏洞并向该应用的安全团队报告了攻击情况。
URL 欺骗攻击基于攻击者更改Web 浏览器地址栏中显示的URL 的能力,以诱骗目标认为加载的网站是由受信任方控制的。但是,就像Khan 在Android 版UC 浏览器应用程序中发现的地址栏欺骗漏洞一样,该网站实际上是由攻击背后的恶意行为者控制的。
毫无戒心的目标用户可以被引导到他们控制的域并伪装成高调的网站,从而允许潜在的攻击者使用网络钓鱼登录页面窃取受害者的信息,或通过恶意广告活动在他们的计算机上放置恶意软件。
URL 欺骗问题“URL 地址栏欺骗是最严重的网络钓鱼攻击,因为它是识别访问网站的用户的唯一方法。”汗说。
正如研究人员在报告中所说,UC 浏览器和UC 浏览器之谜允许潜在攻击者“将其网络钓鱼域名伪装成目标网站。例如,只需将用户发送到
“发生这种情况主要是因为一些移动浏览器使用了错误的正则表达式检查。当用户在谷歌等搜索引擎上搜索某些内容时,他们试图通过仅显示搜索词来增强用户体验,”汗说。
研究人员表示,“基本上,他们只检查用户访问的URL 是否以www[.]google[.]com 开头,因此攻击者可以通过剥离主机并欺骗URL 地址栏来绕过此正则表达式检查。”
为了避免暴露用户,这两个应用程序的开发人员应该忽略用户体验“改进”功能,并在所有情况下显示真实域名“如果他们无法编写良好的正则表达式,或有效保护此功能”。
值得一提的是,Khan 发现“一些旧版和其他版本的UC 浏览器仍然不易受到攻击”,Khan 还想知道这是否表明该浏览器中某个时刻添加的新功能是否导致了该问题。
UC 浏览器URL 欺骗报告被忽略Khan 展示了潜在攻击者如何利用地址栏欺骗漏洞将潜在受害者引导至网络钓鱼网站或恶意广告登陆页面。
漏洞披露报告被忽视
该问题是在UC 浏览器12.11.2.1184 和UC 浏览器Mini 12.10.1.1192 版本中发现的,截至本文发布时,该应用程序的开发商UCWeb 尚未发布补丁,尽管Khan 已于2019 年4 月30 日负责任地向UCWeb 安全团队披露了该问题。
此外,在UCWeb的系统中注册该披露信息后,该公司的安全团队将该报告分配为“忽略”状态。 3 月下旬,这两款Android 浏览器还通过不受保护和不安全的渠道从自己的服务器下载和安装附加模块,通过Doctor Web 完全绕过Google Play 商店服务器,从而使用户遭受中间人(MiTM) 攻击。数百万Android 用户面临黑客通过中间人攻击劫持Android 设备的高风险。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
