根據本周發布的研究報告,在過去一年多時間里包括Google Chrome、Mozilla Firefox和Safari在內的瀏覽器均沒有及時更新釣魚網站黑名單,無法在用戶上網過程中提供妥善的保護。研究小組表示:“我們發現主流移動瀏覽器在保護措施方面存在巨大漏洞。令人震驚的是,移動端Chrome、Firefox和Safari盡管在安全設置中啟用黑名單保護,但是無法對2017年年中至2018年末的釣魚網站發出提醒。”
這個問題只有使用Google Safe Browsing link blacklisting技術的移動端瀏覽器受到影響。該研究小組由亞利桑那州立大學的學者和PayPal工作人員組成,隨后他們向谷歌通報了這個問題,直到2018年年底才正式修復。
研究人員表示:“根據我們的調查,我們發現由于過渡至新的移動API(設計優化流量使用),導致移動GSB黑名單出現不一致的情況,最終不能按照預期運行。”2017年年初,名為PhishFarm的學術研究項目中發現了這一重大安全漏洞。
在調查期間,研究人員創建并部署了2,380個模仿PayPal登錄頁面的網絡釣魚頁面。研究人員沒有測量他們的網址在網址黑名單上的速度,而是使用使用“隱藏技術”部署網絡釣魚頁面,旨在欺騙URL黑名單技術,然后記錄這些“隱形”網絡釣魚頁面落在“危險網站”列表上所花費的時間。
這個問題只有使用Google Safe Browsing link blacklisting技術的移動端瀏覽器受到影響。該研究小組由亞利桑那州立大學的學者和PayPal工作人員組成,隨后他們向谷歌通報了這個問題,直到2018年年底才正式修復。
研究人員表示:“根據我們的調查,我們發現由于過渡至新的移動API(設計優化流量使用),導致移動GSB黑名單出現不一致的情況,最終不能按照預期運行。”2017年年初,名為PhishFarm的學術研究項目中發現了這一重大安全漏洞。
在調查期間,研究人員創建并部署了2,380個模仿PayPal登錄頁面的網絡釣魚頁面。研究人員沒有測量他們的網址在網址黑名單上的速度,而是使用使用“隱藏技術”部署網絡釣魚頁面,旨在欺騙URL黑名單技術,然后記錄這些“隱形”網絡釣魚頁面落在“危險網站”列表上所花費的時間。
為了推進PhishFarm,科研小組對 Google Safe Browsing、Microsoft SmartScreen以及其他US-CERT、Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee和ESET管理的URL黑名單進行了測試。
來源:cnBeta
達人
