virustracker · 2016/06/06 16:49

source:citizenlab

0x00 简介

---

QQ浏览器是腾讯开发的一款网络浏览器，面向Android，Windows，Mac和iOS等平台。相较于内置浏览器，QQ浏览器提供了更丰富的功能，例如，增加了标签窗口，并且整合了聊天平台等。

报告中详细的分析了Windows和Android版本的QQ浏览器是如何传输用户数据。这两个版本的QQ浏览器在传输用户的身份数据时，要么直接不使用加密，要么使用的加密算法简直形同虚设。完整的讨论内容请参阅我们的报告《Baidu’s and Don’ts: Privacy and Security Issues in Baidu Browser》。

由于这种数据传输方式非常不安全，所以只要能介入数据传输路径（比如，用户的ISP，连接了咖啡店的WiFi网络，或入侵了相应网络的黑客），收集并解密数据流量，就能够截获到这些个人数据。

除了数据传输方式不够安全，这两版QQ浏览器的更新方式也有漏洞，会导致任意代码执行。也就是说，攻击者可以伪造一个软件更新，将恶意代码安装到用户的设备上。

这份报告属于