Voor meer dan een jaar, mobiele browsers, zoals Google Chrome, Firefox en Safari gefaald om aan te tonen phishing-gebruiker een waarschuwing, volgens een onderzoek papier deze week gepubliceerd.
“We identificeerden een gapend gat in de bescherming van de top mobile web browsers,” het onderzoeksteam zei.
“Schokkend, mobiele Chrome, Safari en Firefox is mislukt toon alle zwarte lijst waarschuwingen tussen medio 2017 en laat 2018 ondanks de aanwezigheid van de beveiligingsinstellingen die impliciete bescherming van de zwarte lijst.”
Het probleem is alleen beïnvloed mobiele browsers die opgeroepen de Google Safe Browsing link plaatsen op de zwarte lijst technologie.
Het onderzoeks-team-bestaande uit wetenschappers van de Arizona State University en PayPal personeel — aangemelde Google van het probleem, en het probleem is opgelost eind 2018.
“Na onze bekendmaking, hebben we geleerd dat de inconsistentie in mobiele GSB zwarte lijst was te wijten aan de overgang naar een nieuwe mobiele API ontworpen voor het optimaliseren van gegevensgebruik, die uiteindelijk niet functioneren zoals de bedoeling is,” de onderzoekers gezegd.
PhishFarm research project
De ontdekking van deze belangrijke security bug kwam tijdens een academische research project met de naam PhishFarm, begin 2017.
Tijdens PhishFarm, onderzoekers gemaakt en ingezet 2,380 phishing-pagina ‘ s nabootsen van de PayPal inlog pagina. De onderzoekers niet meten hoe snel hun Url ‘ s geland op de URL blacklists. Dit type onderzoek heeft gedaan in het verleden.
In plaats daarvan richten zij zich op het implementeren van phishing pagina ‘ s met “cloaking technieken”, gericht op het tricking URL zwarte lijst technologieën en vervolgens het opnemen van de tijd die het kostte om deze “onzichtbare” phishing-pagina ‘ s om het land op de lijsten van “gevaarlijke sites” — of als ze landden.
Voor PhishFarm, onderzoekers testten URL blacklists zoals Google Safe Browsing, Microsoft SmartScreen, en die welke worden beheerd door US-CERT, de Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee, en ESET.
Afbeelding: Oest et al.
Verder, het onderzoeksteam van de phishing-pagina ‘ s ook gebruikt zes (eigenlijk vijf) cloaking technieken onderzoekers zeiden dat ze hebben gezien gebruikt door phishing-kits in de echte wereld:
– Een mantel – alle gebruikers toestaan om de phishing-pagina, aka een no-cloak-modus gebruikt als een basis voor alle detecties
– Mantel B – dat alleen gebruikers van mobiele apparaten
– Mantel C – u alleen aan AMERIKAANSE gebruikers van desktop apparaten
– Mantel D – alleen niet-AMERIKAANSE gebruikers van desktop apparaten
– Mantel E – blok bezoekers van IP-adressen bekend te worden in verband met veiligheid leveranciers
– Mantel F – toestaan browser waarin JavaScript is ingeschakeld
Afbeelding: Oest et al.
“We vonden dat eenvoudig cloaking technieken vertegenwoordiger van de echte wereld aanslagen, waaronder die op basis van geolocatie, type apparaat, of JavaScript – effectief waren in het verminderen van de kans op een zwarte lijst opgesteld met meer dan 55% gemiddeld” onderzoekers gezegd.
Resultaten varieerden per URL blacklists en cloaking techniek [check grafieken op het einde van het onderzoek op papier], maar het ding dat opviel tijdens hun onderzoek was dat mantels A, E, en F had nul detecties op mobiele browsers die werden met behulp van Safe Browsing van Google URL zwarte lijst.
Wanneer onderzoekers herhaald hun tests medio 2018, ze kreeg dezelfde resultaten, op welk punt ze realiseerden zich dat de Google Safe Browsing-technologie niet werkt zoals de bedoeling is op mobiele apparaten. [Een mantel was in feite een “geen mantel’, wat betekent dat het Veilig Surfen was niet alarmeren van de gebruiker over een phishing-pagina ‘ s, zelfs als ze gebruikt cloaking technologieën of niet-effectief werken bij alle].
Het probleem werd uiteindelijk opgelost door het einde van 2018, onderzoekers gezegd.
Meer over dit onderzoek kan worden gevonden in een document getiteld “PhishFarm: Een Schaalbare Kader voor het Meten van de Effectiviteit van de Fraude Technieken Tegen Browser Phishing Blacklists,” beschikbaar voor download in PDF-formaat vanaf hier, hier, of hier.
Afsluiting @IEEESSP #sp19 Adam Oest presenteert “PhishFarm: Een Schaalbare Kader voor het Meten van de Effectiviteit van de Fraude Technieken Tegen Browser Phishing Zwarte lijsten” pic.twitter.com/gTdQYYCIhX
— Elissa Redmiles (@eredmil1) 22 Mei 2019
Verwante cybersecurity dekking:
Google onderzoek: de Meeste hacker-voor-het huren diensten zijn fraudsAndroid en iOS-apparaten beïnvloed door de nieuwe sensor kalibratie attackUK zegt gewaarschuwd 16 NAVO-bondgenoten van de russische hacken activitiesRoot account onjuiste gevonden in 20% van de top 1.000 van de Docker containersSome Elasticsearch beveiligingsfuncties zijn nu gratis voor everyoneMicrosoft brengt nieuwe versie van Aanvallen Analyzer utility Waarom cybersecurity voors informatie wilt delen ter bestrijding van bedreigingen TechRepublicGoogle neemt gericht op vervalste websites met nieuwe Chrome waarschuwing CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters