移动互联网主流使用人群正由2~3年前的高端人士转为普通用户,而其安全性问题正日益突出。从跑流量、窃取用户信息、自动订阅相关增值服务......可以说恶意程序无孔不入。移动互联网安全厂商Lookout发布的手机安全报告显示,不到半年内恶意程序数量增加了一倍;Android用户遇到恶意软件的可能性已经从半年前的1%到激增到4%。在国内,相较2010全年共发现12个木马样本相比,今年1月-6月,360手机云安全中心就已捕获新增Android木马样本968个,感染人数达到118万。电信业内人士表示,目前国内至少有10家SP(电信增值服务商)或渠道商(借SP的收费渠道)在做Android平台的吸费生意,用户几乎察觉不到。
而移动互联网用户感染恶意病毒目前主要从以下三个渠道:浏览器、第三方应用市场及各开放平台。而这其中,第三方应用市场及各开放平台随着其规模日益成熟,对病毒的监控机制也日益完善,感染几率正在逐步下降。但是,作为移动互联网用户上网的主要方式,浏览器的安全性问题正日显突出。特别是随着HTML5技术的日益成熟,用户通过浏览器使用各种应用已日益频繁,在此前提下,浏览器对安全的防护问题,正由之前的被动模式转为如今的主动防护模式,今天我们就来看看刚刚发布的UC浏览器8.3版。
首先,我们先简单的看下UC浏览器8.3版,小编使用的是Android版,开启应用后,首先启动的loading页还是那只可爱的小松鼠。然后,第一屏为新版本更新说明,本版本新增了包括HTML5跑分的提升、加入UC云加密、全新UI、分段加载、语音功能等功能。
在这里,小编正式进入主题:UC浏览器8.3版的安全测试。
UC浏览器8.3版的安全测试
1.辨别钓鱼网站
在互联网上,钓鱼网站已经成为窃取用户信息的一个最主要方式之一,如今,钓鱼网站已从互联网移植到移动互联网上,普通用户在使用系统自带浏览器访问钓鱼网站,并不会对此提出警告,用户信息安全性很难得到有效保障。
目前,UC浏览器已与安全管家及金山卫士联合建立了UC云安全中心,服务器收集了大量钓鱼网站信息。当用户通过UC浏览器访问网站时,服务器首先会给出判断,此网站是否安全,若安全,则如左小图所示,在网址栏左侧会出现一个绿色的勾;若为钓鱼网站,浏览器则会在地址栏下发出警告:您访问的网站可能是假冒网站!
2.危害文件查杀
目前智能手机,特别是Android手机,由于Android平台自身原因,系统开放给开发者124项权限,因此造成很大的安全隐患。籍此,开发者可以自由的读取系统相关资源,并在用户不知情的情况下做恶意处理。
目前国内的应用下载市场至少超过100家,其中接入安全检测的不到20家,即便接入安全检测也普遍存在审核不严的情况。众多第三方Android应用客户端均不为用户显示相关下载应用在使用中所涉及的权限,用户极易在不知情的情况下安装涉及自动网络访问、联系人泄漏、位置信息公开等多种问题应用。
因此,在应用下载方面,选择一个是否安全的,无危害的应用就显得尤为重要,浏览器作为用户获取信息的主要入口之一,在应用下载方面如能做到风险分析,就能有效的避免危害程序的侵入。
UC浏览器8.3版在应用下载方面,通过通过UC的云安全中心,能直接检测出应用是否存在危害,如下图所示,如安全的程序,浏览器则会提示,安全,用户可放心下载;若程序存在安全隐患,浏览器则会在安全状态中进行提示,并进行相关的风险说明。
3.开放网络情况下,数据加密传输
本次UC浏览器8.3版,在安全方面还做了一个特别的提升:在开放性网络中使用UC浏览器,可进行加密传输,防止出现安全泄露。
如下图所示,当用户处于一个开放性的WIFI环境中,UC浏览器会提示用户是否使用UC云加密进行数据传输,目前针对开放的WIFI,只有UC浏览器具备此项功能,当使用Android原生浏览器或其它浏览器接入无密码WIFI时,用户不会获得任何提示,而是直接接入。
UC浏览器的接入方式也有多种选择,根据用户对传输选项的选择不同,会采取不同的传输方式,小编进行在接下去的内容中,为大家细细解答。
当选择“继续访问”选项连接HTTP网站时,小编对数据传输进行抓包,通过抓取的信息显示,与其它浏览器一样,均直接连接HTTP网站,可以直接查看传输的内容,如下图所示,用户正在进行登录人人网。
小编对数据传输进行抓包,通过抓取的信息显示,在未进行加密的情况下,浏览器采用明文传输,可以直接查看传输的内容,如下图所示,用户正在进行登录人人网。
点击查看详情,可以发现用户登录的具体信息,采用了yahoo的邮箱,密码为123456。
浏览器如何保障传输过程的安全
在开放性的网络中进行明文传输,存在较大的安全隐患,于是,小编选取了采用“使用UC云加密”进行信息传输,此传输方式为UC自有加密方式,信息先到UC云服务器,然后进行加密与本地UC浏览器进行传输。如下图所示,同样采用登录人人网,因为已采用加密传输,无法直接获取数据传输的内容。
如下图所示,同样采用登录人人网,因为已采用UC云加密传输,无法直接获取数据传输的内容。
浏览器通过采用UC云进行加密传输,无法直接查看用户的每一步操作,而在明文传输过程中,可以非常清楚的看到用户的每一步操作。
点击查看详情,在数据传输的过程中,即便信息被抓包,也无法立即查看信息,需要进行专门的解密才可以。
接下来小编用UC浏览器登录使用HTTPS加密协议的谷歌账号,抓包之后获取的用户名密码均为乱码,相对也很安全。
因为以上内容可能有些专业,小编在这里做个小结:
普通用户上网使用的网络传输协议主要有两种,一是HTTP,一是HTTPS。明文传输(使用HTTP协议),可以直接截获传输数据,存在较大风险性;采用UC云加密传输(自有加密方式传输)时,浏览器对用户的每一步使用过程均进行了加密,同时,将截取的数据打开发现,如无匹配的密钥,数据截获者无法直接读取数据信息,存在较高的安全性。而HTTPS协议是加密协议,相对HTTP安全很多,当UC浏览器识别到用户访问的网站是采用HTTPS加密协议的方式时,则直接连接至该网站,截取的数据依然无法读取,也是非常安全的。
通过以上测试,可以确认,UC浏览器8.3版正在尽自己所能,为用户创造一个安全的使用环境,当然,整个移动互联平台的安全性,需要整个产业链共同去维护,包括第三方应用市场、开放平台、以及应用开发者自身的自律行为。
