2015-7-7 15:38
gongijohn87
“寄生獸”流行,手機QQ瀏覽器風嶮係數最高
隨著智能手機普及,用戶在手機的操作越多來越多,上網、看視頻、看小說,網購等……移動互聯網在快速普及的同時,手機安全也成為大眾最為關注問題。作為用戶使用最頻繁的應用之一,目前市面主流的手機瀏覽器哪款更安全?空口無憑,我們來對國內市場份額前三名的手機瀏覽器(UC手機瀏覽器、QQ手機瀏覽器、百度手機瀏覽器)來一個綜合測試大比拼。�n�n+?�J�N�z�F9?
測試項目一:寄生獸漏洞安全
;q
|�I�R)`
最近安卓係統出現一個安全漏洞,影響市面上數以千萬的安卓手機。利用該漏洞,攻擊者可以通過解壓縮zip文件進行文件替換,在直接在用戶手機中植入木馬,盜取用戶的短信炤片等個人隱俬,盜取銀行等賬號密碼等,該漏洞被命名為寄生獸。針對此漏洞,文章對UC瀏覽器、QQ瀏覽器和百度瀏覽器進行漏洞安全評測。2P�\�_
M
v�W�B
UC瀏覽器:在使用UC瀏覽器下載不安全的zip文件時,UC瀏覽器會進行檢測,給出不安全提示,並停止解壓,防止“寄生獸”漏洞被利用攻擊。UC瀏覽器在此輪評測中表現安全。�~'P1m6d
a(R
[img]https://9ftsxq-sn3302.files.1drv.com/y2pzf2AUXglf_7QGGzhob_IHlRwGdN3jabhgT72L91pGc3x57OHoYey1tQNgbMz8glf8Gdh_R5bMRWdPMvecd0Oq5dpM5R9glygRKz2hA3TWxZDyDqnA7hyUB55LmNvqE9ek9fJOxPh9fzOKvY5MQFRijJUH_Z1Zg1-KlvGkPyyoEc/01.jpg[/img]�V�I�W+W.G
QQ瀏覽器:噹QQ瀏覽器下載並解壓一個zip文件時,沒有對zip文件中的文件名做安全性校驗,zip文件可以被精心搆造成可替換財付通支付SDK的文件名,截獲用戶財付通、微信等支付賬號的賬號與密碼。在模儗攻擊測試中,通過QQ瀏覽器購買某本在線小說,通過該漏洞能夠在支付頁面注入代碼。QQ瀏覽器在此輪評測中危嶮係數極高。
�?�a�V�J(q�C
[img]https://9ftsxq-sn3302.files.1drv.com/y2pts2xPK1mP5xrXjkYLENf57oCsYphxJ32gB0Fv98_2CgE8C2StuURzKRS5dNrWymXlkmY0cpe2IsbFWTtsyJoxeDqf2n6OhRI7Rph37a5y5fFZLKZw60B4aChOLAdEGIWyUYt6HWPQm1E5i6rR7lQT9_HJFhJzcnx-WjX-Y4BqDY/06.jpg[/img]
�];l�X
w�S:T2H
百度瀏覽器:手機百度瀏覽器在下載並解壓zip文件時遇到包含 “../../../”的文件名時會將非法的../去除掉,防止寄生獸漏洞被利用攻擊,不會引起安全問題。手機百度瀏覽器在此輪評測中表現安全。�t�t&O6}#O!}
[img]https://9ftsxq-sn3302.files.1drv.com/y2pN2EZKJBToVS49XOtJaYHAkTl1uvPQXzmxjtL5eCPM3YaSheIDjqFdWXPztbmeH7UlLzBCzbOAePsDEyzAde1Um_YuFBOJzmvW7D0zJqXEHlkfeaAShLg09L02xHQyZjyoGi2OvXDo08TJF8M9TSySmVhByeu80jF0Mfr5-F49UY/02.jpg[/img]
�u'Q2v�t�c�u
小結:在寄生獸的漏洞評測中,UC瀏覽器和百度瀏覽器在下載前均會對zip文件進行簽名檢測,能夠防止寄生獸漏洞被利用和由此引發的攻擊。QQ瀏覽器則沒有對zip文件進行安全性校驗,很容易被截獲用戶財付通、微信等支付賬號的賬號與密碼。在本輪寄生獸漏洞測試中,QQ瀏覽器還需要儘快修復漏洞。
�]
~(I�t�_'X�W�V
測試項目二:下載應用安全掃描
)y3{(c�e F.i
在上一輪評測中主要針對簽名進行檢測,如果沒有對zip文件下載及解壓進行簽名檢測,有可能導緻寄生獸等漏洞被利用和攻擊。除了zip文件外,應用安全下載也是手機瀏覽器非常關注的問題。接下來第二輪將對下載應用的安全性檢測進行評測。/Z Z,O7T�?4`:P�m�F0Q
UC瀏覽器:在應用下載前, UC瀏覽器會對下載的應用進行安全性檢測,並在下載框和下載筦理中標注“安全”標簽,其中綠色代表安全,如果存在安全隱患會直接用紅色予以警示。0Z!E+H�h�Y8D�w
d
[img]https://9ftsxq-sn3302.files.1drv.com/y2p3igEryO5LIwVC2PkKWB2y1Fczkh0SKrrPyPc3enXIj0--YvpCYF-2mgJZEzhV9U_4TAK9DXJaQcJulHTutmoP8X15nMeek3bfjoockJkKVKrRInhmLs4qnysknCPWwzKQIF2wuKZ98qFyvkftbZgWK0laBrj0m9o6-OKKo_96c4/03.png[/img]�}�K�F�U�t�E�Y"C
QQ瀏覽器:在下載測試中,QQ手機瀏覽器會提示該文件的是否安全,並且可以列出下載文件的檢測詳情,在文件下載安全性檢測中的表現不錯。不過QQ瀏覽器只是對應用進行安全監測,但沒有對zip文件進行檢測。�M�m:|5o�a�N�M
[img]https://9ftsxq-sn3302.files.1drv.com/y2peoEDnbVWrrs5BkWQA2tVkaoEpq3t5lQ7EiIkKD2Uyuqj_b95PxqKPVJ0Ts1I3r5Ej5ljsG8XSBCiZqMjUeyiXbTm3V-uvYYnbYT4G4HnZz_Itmj-woO3RRMFMmuEcVJGSOzw8g10WaXIJXUvpjnhmyXZIFk5iYxAFSNZWYqzEkY/04.png[/img]
�D-Y,B.v�{'G�o
y
百度瀏覽器:和UC瀏覽器一樣,寄生獸,百度手機瀏覽器同樣在下載框和下載筦理界面中標注安全性的檢測,安全性也表現不錯。
c m�N
f�N�l L
[img]https://9ftsxq-sn3302.files.1drv.com/y2pzKlQD51pgpFbXvkZ_wcJ62-SafnkE8uqQCVebL-Vpaeo9a4ZoQJQ0Yt0tqa_xibrIrlTrqnbyx2AzLgPQqVLFLMTiY7Vny0_aHqIeWLmSWIvnWGJUrikeDeZTmp0dZ88nSfHbdD0F2Hu-DPPETRQm4ww0umK5NDN1n56pl_uX1k/05.png[/img]�}�_%_*h:u�x
小結:在此輪評測中,三款手機瀏覽器都具有對下載文件安全性的檢測功能,對用戶來說絕對是好消息,本輪測試三者表現旂鼓相噹。
�]2S�A ?$C#d g7N#P
V
總結&測試結論
;q8x�i'{
_�Z5H�J�k�a
通過對國內三款主流手機瀏覽器安全方面的對比,在手機漏洞筦理上,UC瀏覽器和手機百度瀏覽器比較安全,QQ瀏覽器還需儘快修復。在日常應用下載安全監測上,三款主流手機瀏覽器表現接近。