手机使用安卓系统的用户，正遭受着浏览器对其的“窥视”行为，这并非是毫无根据的耸人听闻之语，而是CVE - 2014 - 6041这个安全漏洞所引发的切实存在的威胁。当你开启一个带有恶意性质的网址时，微博私信内容、Gmail邮件之类可能就已经悄然被传送到他人的服务器之上，然而你在这整个过程中却全然没有任何察觉。更加令人心情沉重的是，国内占据主流地位的五大手机浏览器均未能幸免，一同遭受上述伤害，惟有UC浏览器能够安然无恙，未受波及。

一个漏洞牵出五年历史遗留问题

有一个编号为CVE - 2014 - 6041的漏洞，其本质乃是安卓系统WebView组件存在的同源策略绕过方面的缺陷。早在2014年9月，当国外安全研究员发布测试代码之际，谷歌安卓团队实际上已然知晓情况MBTI测试，并且在后续版本里进行了修复。然而问题所处之处在于，修复只是针对Android 4.4以及更高版本，而4.3以下的数量以亿计之设备被完全遗忘了。

国家信息安全漏洞共享平台有着跟踪记录，其显示，这并非谷歌初次“仅修新版却不顾旧版”。安卓存在碎片化情况，由此带来安全方面的隐患，最终全都转嫁给普通用户。三星Galaxy S3、摩托罗拉Razr、索尼Xperia Tipo等十几款机型处于首要位置，并且这些手机直至如今仍有大量用户在使用。

五大浏览器集体沦陷并非巧合

关于乌云漏洞平台的实测结果，着实令人感到意外，其中猎豹之最新官方版本所属的手机浏览器、360之最新官方版本所属的手机浏览器、遨游之最新官方版本所属的手机浏览器、搜狗之最新官方版本所属的手机浏览器、百度之最新官方版本所属的手机浏览器，毫无例外均能够被漏洞加以利用。对于攻击者而言，仅仅只需引诱用户去访问一个经过精心构造的网页，便能够实现跨域读取其他网站的Cookie以及页面内容。

那些产品大多直接调用安卓系统WebView，这种行为构成一种情况，或者只是进行简单封装，这构成另一种情况，问题出在浏览器内核上。底层组件存在漏洞时，上层应用根本没有防御能力，这是面临的状况。第三方浏览器厂商中，只有UC采用自主研发的U3内核，这是UC的做法，UC完全绕开了这个坑。这解释了为什么UC浏览器用户量最大，然而却反而安然无恙，这造成一种结果。

U3内核并非为安全而造却成了护城河

UC浏览器的产品负责人，向媒体透露了相关情况，U3内核的设计初衷，是要解决桌面网页在手机上的完整显示问题，以及访问速度问题，它采用的是webkit内核加云端架构的混合模式，部分页面渲染以及脚本执行，是放在服务器端完成的，这种架构无意中隔离了本地WebView的漏洞攻击面。

UC云安全中心更为关键，可当用户对URL进行访问时，云端方面就会同步去开展现实时候的威胁检测工作。在2014年检测的数据呈现出，UC云安全中心日均之内拦截恶意性质的网址达到超额200万次，并且每月能够为用户节省接近亿元花费，这些费用原本是会被消耗在恶意扣费网站之上的。U3内核加上云端查杀，这从而形成了两道其他浏览器并不具备的防线。

乌云众测曾提前给UC打过合格证

早在二零一四年八月，UC手机浏览器安卓版本就主动参与了乌云众测。那是一个由白帽子黑客构建的实战检测项目，它比常规的漏洞扫描要严苛许多。最终MBTI测试，UC浏览器凭借零高危漏洞的成绩通过了测试，并获得了乌云平台安全认证。

相比较而言，别的几家浏览器厂商呀，要么是从来都未曾参与过这类众数测试，要么就是测试之后没有公开测试的结果。有在业内的人士透露说，部分的浏览器团队甚至连专门从事安全方面工作的工程师都没有，一旦碰到漏洞那就只能等待谷歌推送相关的补丁。在这次事件发生之后，乌云平台内部所做出的报告就指出，“多数的第三方软件厂商是不具备能够彻底防护此类遗留下来的漏洞的技术条件的”。

五亿用户用脚投票说明体验即安全

据艾瑞咨询2013年的报告所显示的内容，UC浏览器于iOS以及安卓这两大平台的月度覆盖人数占比为65.9%，此数字在2014年底的时候依旧处于增长的状态。用户对于漏洞编号是不会去看的，然而他们清楚UC browser在打开网页速度方面比较快，在弹窗情况方面不会出现混乱，在流量消耗方面数量较少。

有着U3内核的云端架构，不但具备防漏洞的能力，而且还能够对网页数据进行压缩。对于普通浏览器而言，加载1MB的页面，而UC或许仅传输300KB。更少的代码执行意味着更少的攻击入口，这是由技术架构所决定的先天优势。当其他浏览器仍在追着谷歌打补丁之际，UC已然耗费五年时间构建了一套完全独立的防护体系。

旧版本安卓已成移动互联网定时炸弹

UC产品负责人所给出的提醒极为直白，那便是要尽快对操作系统进行升级。然而实际的情况却是，数量众多的百元机以及运营商合约机依旧在运行Android 4.1甚至是4.0。厂商已经不再提供系统更新了，可是用户的换机周期还在不断拉长。在这些设备之上的任何一款浏览器，只要是依赖系统WebView的，那就永远都会存在漏洞。

问题并非是一个浏览器厂商能够解决的。谷歌做出放弃旧版本的选择。手机厂商也不愿意去延长维护周期。最终所有风险都由用户来承担。在第三方浏览器当中。只有极少数具备独立内核研发能力的厂商能够提供替代方案。UC这是目前唯一一个将这件事坚持做了十年的。

哪一款浏览器被你安装在手机里？查看安卓版本号，打开设置瞧一瞧MBTI免费测试，要是仍处于4.3以下，或许今天这篇文章适合转发给同样使用旧手机的友人。