創新易聯歡迎您!13年專注深圳網站建設

谷歌安全瀏覽API出問題,移動瀏覽器無法顯示攻擊警告

日期:2019-05-25 | 來源:易聯網站建設公司 | 閱讀:

由亞利桑那州立大學的學者和PayPal員工組成的研究團隊最近宣稱,從2017年年中到2018年年末的一年半時間里,由于谷歌安全瀏覽API出現問題,導致Chrome、火狐以及Safari等移動瀏覽器無法顯示網絡釣魚攻擊警告。




研究人員表示:“我們發現,在頂級移動網絡瀏覽器的保護方面存在一個巨大漏洞。令人震驚的是,Chrome、Safari和火狐等移動瀏覽器在2017年年中至2018年末期間沒有顯示任何黑名單警告,盡管存在暗含黑名單保護的安全設置。”不過,這個問題只影響了使用谷歌安全瀏覽鏈接黑名單技術的移動瀏覽器。


研究團隊已經通知了谷歌這個問題,后者在2018年末將其修復。研究人員稱:“在我們披露這個漏洞后,我們了解到,移動GSB黑名單出現不一致性是由于向一種旨在優化數據使用的新移動API過渡所致,而這種API最終并沒有發揮預期的作用。”


這一重大安全漏洞是在2017年初啟動的、名為PhishFarm的學術研究項目中發現的。在此期間,研究人員創建并部署了2380個模仿PayPal登錄的網絡釣魚頁面,但他們沒有測量URL在URL黑名單上出現的速度,而是專注于部署帶有“偽裝技術”的網絡釣魚頁面,這些頁面目的是欺騙URL黑名單技術,然后記錄這些“偽裝”的網絡釣魚頁面進入“危險網站”列表所花費的時間。


對于PhishFarm,研究人員測試了許多URL黑名單,如谷歌安全瀏覽、微軟智能屏幕以及由US-CERT、Anti-Phishing Working Group、PayPal、PhishTank、Netcraft、WebSense、McAfee和ESET管理的黑名單。此外,研究團隊的網絡釣魚頁面還使用了6種偽裝技術,研究人員稱他們在現實世界中已經看到了這些網絡釣魚工具的使用。


研究人員表示:“我們發現,能夠代表真實世界攻擊的簡單偽裝技術——包括基于地理位置、設備類型或JavaScript的攻擊,平均能有效降低55%以上被列入黑名單的可能性。每個URL黑名單和偽裝技術的檢測結果各不相同,但最引人注目的是,在使用谷歌安全瀏覽URL黑名單的移動瀏覽器上,許多釣魚攻擊都未被檢測到。”


當研究人員在2018年年中重復他們的測試時,他們得到了同樣的結果,這時他們意識到谷歌的安全瀏覽技術在移動設備上并不像預期的那樣安全。不過研究人員表示,這個問題最終在2018年底得到解決。


—— 微信公眾號 ——

熱門標簽

急速赛车单机版