由亞利桑那州立大學的學者和PayPal員工組成的研究團隊最近宣稱,從2017年年中到2018年年末的一年半時間里,由于谷歌安全瀏覽API出現問題,導致Chrome、火狐以及Safari等移動瀏覽器無法顯示網絡釣魚攻擊警告。
研究人員表示:“我們發現,在頂級移動網絡瀏覽器的保護方面存在一個巨大漏洞。令人震驚的是,Chrome、Safari和火狐等移動瀏覽器在2017年年中至2018年末期間沒有顯示任何黑名單警告,盡管存在暗含黑名單保護的安全設置。”不過,這個問題只影響了使用谷歌安全瀏覽鏈接黑名單技術的移動瀏覽器。
研究團隊已經通知了谷歌這個問題,后者在2018年末將其修復。研究人員稱:“在我們披露這個漏洞后,我們了解到,移動GSB黑名單出現不一致性是由于向一種旨在優化數據使用的新移動API過渡所致,而這種API最終并沒有發揮預期的作用。”
這一重大安全漏洞是在2017年初啟動的、名為PhishFarm的學術研究項目中發現的。在此期間,研究人員創建并部署了2380個模仿PayPal登錄的網絡釣魚頁面,但他們沒有測量URL在URL黑名單上出現的速度,而是專注于部署帶有“偽裝技術”的網絡釣魚頁面,這些頁面目的是欺騙URL黑名單技術,然后記錄這些“偽裝”的網絡釣魚頁面進入“危險網站”列表所花費的時間。
對于PhishFarm,研究人員測試了許多URL黑名單,如谷歌安全瀏覽、微軟智能屏幕以及由US-CERT、Anti-Phishing Working Group、PayPal、PhishTank、Netcraft、WebSense、McAfee和ESET管理的黑名單。此外,研究團隊的網絡釣魚頁面還使用了6種偽裝技術,研究人員稱他們在現實世界中已經看到了這些網絡釣魚工具的使用。
研究人員表示:“我們發現,能夠代表真實世界攻擊的簡單偽裝技術——包括基于地理位置、設備類型或JavaScript的攻擊,平均能有效降低55%以上被列入黑名單的可能性。每個URL黑名單和偽裝技術的檢測結果各不相同,但最引人注目的是,在使用谷歌安全瀏覽URL黑名單的移動瀏覽器上,許多釣魚攻擊都未被檢測到。”
當研究人員在2018年年中重復他們的測試時,他們得到了同樣的結果,這時他們意識到谷歌的安全瀏覽技術在移動設備上并不像預期的那樣安全。不過研究人員表示,這個問題最終在2018年底得到解決。
16年專業網站
建設經驗
專業創意
設計隊伍
從建站到網絡營銷
一站式服務
客戶平臺
創造巨大價值
個性化
定制網站
全國首家
一對一在線策劃
雙重培訓
體制
客戶
全球化
總機電話:0755-2697 8727 (32線) -612 、-625
業務電話:0755-2697 8721 - 888 、-999 、-666
業務電話:0755-8606 0877 - 612 、-625 、-618
商務地址:深圳南山數字文化產業基地西座12樓.創新易聯
創新易聯(www.51rzb.com),深圳市創新易聯網絡技術有限公司旗下獨立品牌,深圳最好的網站建設公司,業務類型涉及高端網站建設、APP開發、商協會微平臺開發、小程序、移動電商、云主機、高防服務器等。質量和信譽是我們存在的基石。我們注重客戶提出的每個要求,充分考慮每一個細節,積極的做好服務,努力開拓更好的視野。在所有新老客戶面前,我們都很樂意虛心、樸實的跟您接觸,更深入的了解您的企業,以便為您提供更優質的服務,打造深圳網絡公司第一品牌!
