本月，央視新聞曝光黑客利用安卓手機系統及UC瀏覽器等手機APP存在的安全漏洞植入木馬病毒，竊取用戶隱私數據，目前已導致多名用戶網銀、支付寶賬號密碼被盜。這是今年5月份以來UC瀏覽器第二度被曝光安全問題。

[[139444]]

黑客利用UC瀏覽器安全漏洞盜取手機用戶支付寶余額

根據央視新聞報道，手機用戶王小姐日前收到朋友發來的二維碼，掃碼后手機自動下載了一張陌生的美女圖片，對此王小姐并未引起警惕，誰知當晚其支付寶賬戶中的幾百元余額竟不翼而飛!

手機安全專家現場模擬還原了黑客的作案手法：

首先，黑客制造一個包含木馬病毒的壓縮包，利用二維碼進行分享擴散。

隨后，不知情的用戶用手機掃描二維碼，下載打開了“圖片”。事實上用戶下載的是包含木馬病毒的壓縮包，但由于病毒利用安卓系統及APP存在的安全漏洞成功將自身偽裝成了圖片，于是逃過了系統的檢測，潛伏在用戶手機中。

接著，用戶打開手機中的UC瀏覽器進行淘寶網購，輸入賬號密碼后，中毒的手機自動將用戶剛剛輸入的賬號密碼發送到了黑客指定的電腦上，用戶的賬號密碼信息就這樣神不知鬼不覺地被黑客竊取了。

與此同時，病毒隨UC瀏覽器App一起運行，可以攔截用戶手機短信，并轉發短信。黑客一旦獲取用戶的手機號、身份證號、支付寶賬號，就可以通過病毒竊取到的手機支付短信驗證碼修改支付寶密碼，盜刷資金。

UC瀏覽器曾遭國外研究機構曝光泄露用戶隱私

今年5月，加拿大技術研究機構Citizen Lab發布報告稱，UC瀏覽器安全性存在重大隱患，用戶個人信息在傳輸過程中并沒有被加密，即使用戶清理了應用程序上的緩存，隱私信息還是會保留在緩存里，第三方通過一定手段可以訪問到用戶的數據，獲取包括用戶手機號碼、SIM卡號碼以及地理位置、搜索歷史等在內的敏感信息，對用戶隱私造成巨大威脅。斯諾登披露的一份文件顯示，美國國家安全局及其盟友曾找出UC瀏覽器的漏洞并借此搜集亞洲特別是中國和印度地區的手機用戶數據。

Citizen Lab方面表示，早在4月機構已將研究結果透露給UC瀏覽器，后者旋即聲稱最新版本產品的安全漏洞已經得到修復，但在Citizen Lab5月下載最新的UC瀏覽器使用后卻發現，該軟件雖然不再不安全地發送位置數據，但其他問題依然存在。也就是說，UC瀏覽器的存在的安全問題并未得到解決，用戶的手機號碼、搜索歷史等隱私數據仍在持續地通過UC瀏覽器泄露給別有用心的人士，數以萬計的手機用戶隱私數據存在嚴重的威脅。

專家稱，UC瀏覽器在軟件開發環節存在一定問題：其一是軟件開發者沒有考慮odex的安全問題，其二是軟件沒有對zip解壓縮時的惡意文件名做檢測，這才導致嚴重的安全漏洞，容易被黑客利用，成為協助黑客獲取用戶隱私、盜取網銀賬號的工具。UC瀏覽器要解決自身安全問題，必須從軟件開發技術源頭著手改進，而不能“哪里漏水補哪里”，否則仍有可能成為被黑客利用的工具，危害到用戶的隱私安全。