För mer än ett år, mobila webbläsare som Google Chrome, Firefox och Safari misslyckats med att visa phishing varningar till användare, enligt en forskningsrapport som publicerades den här veckan.
“Vi identifierat ett gapande hål i skyddet av de bästa mobila webbläsare,” forskning laget sa.
“Chockerande, mobil Chrome, Safari och Firefox misslyckats med att visa alla svarta listan varningar från mitten av 2017 och sen 2018 trots närvaron av säkerhetsinställningar som underförstådda svartlista skydd.”
Frågan endast påverkat mobila webbläsare som stämt Google Safe Browsing länk svartlistning-teknik.
Forskargruppen, som består av forskare från Arizona State University och PayPal personal — anmälda Google av problemet, och frågan var fast i slutet av 2018.
“Efter vårt avslöjande, har vi lärt oss att den inkonsekvens i mobila GSB svartlistning var på grund av att övergången till en ny mobil API för att optimera användning av data, vilket i slutändan inte fungerar som avsett,” forskarna säger.
PhishFarm forskningsprojekt
Upptäckten av denna betydande säkerhet bugg kom under ett akademiskt forskningsprojekt som heter PhishFarm, började i början av 2017.
Under PhishFarm, forskare skapat och distribuerat 2,380 phishing-sidor härma PayPal-login-sidan. Forskarna inte mäta hur snabbt deras Webbadresser landade på URL svarta listor. Denna typ av forskning har gjorts i det förflutna.
Istället fokuserar de på utbyggnaden av phishing-sidor med “cloaking teknik” som syftar till att lura URL svarta listan teknik och sedan registrera den tid det tog för dessa “dolda” sidor med lösenordsfiske för att landa på listor över “farliga platser” – eller om de landade på alla.
För PhishFarm, forskare testade URL svarta listor som Google Safe Browsing, Microsoft SmartScreen, och de förvaltas av US-CERT, Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee, och ESET.
Bild: Oest et al.
Ytterligare forskning team av phishing-sidor används också sex (egentligen fem) cloaking teknik forskare sagt att de har sett användas av phishing-kit i verkligheten:
– En mantel – tillåta alla användare att visa den phishing-sida, aka en no-kappa-läget används som utgångspunkt för alla upptäckter
– Kappa B – att endast tillåta användare från mobila enheter
– Mantel C – endast gör det möjligt för OSS användare från stationära enheter
– Mantel D – tillåt endast icke-AMERIKANSKA användare från stationära enheter
– Mantel E – block besökare från IP-adresser som är kända för att vara associerade med säkerhet leverantörer
– Mantel F – tillåt endast den webbläsare där JavaScript är aktiverat
Bild: Oest et al.
“Vi fann att enkelt cloaking teknik är representativa för verkliga attacker – inklusive de baserade på geografisk lokalisering, typ av enhet, eller JavaScript – var effektiva i att minska risken för svartlistning med över 55 procent i genomsnitt,” forskarna säger.
Resultaten varierade per URL svarta listor och cloaking teknik [in graphs i slutet av uppsatsen], men det som stod ut under deras forskning var att anoraker A, E och F hade noll upptäckter på mobila webbläsare som använder Googles Safe Browsing URL svarta listan.
När forskarna upprepade sina tester i mitten av 2018, de fick samma resultat, samtidigt som de insåg att Googles Safe Browsing-teknik inte fungerar som avsett på mobila enheter. [Kappa, En var i praktiken en “ingen ursäkt”, vilket innebär att Säkra att Surfa var inte att varna användare om phishing-sidor, även om de används cloaking teknik eller inte — effektivt fungerar inte på alla].
Frågan blev så småningom fast med slutet av 2018, forskare säger.
Mer om denna forskning kan hittas i ett dokument med titeln “PhishFarm: Ett Skalbart Ramverk för att Mäta Effektiviteten av Skatteflykt Webbläsaren Mot Nätfiske svarta listor”, tillgänglig för nedladdning i PDF-format från här, här, eller här.
Att stänga ute @IEEESSP #sp19 Adam Oest presenterar “PhishFarm: Ett Skalbart Ramverk för att Mäta Effektiviteten av Skatteflykt Webbläsaren Mot Nätfiske svarta listor” pic.twitter.com/gTdQYYCIhX
— Elissa Redmiles (@eredmil1) 22 Maj, 2019
Relaterade it-säkerhet täckning:
Google research: de Flesta hacker-för-hyra tjänster är fraudsAndroid-och iOS-enheter påverkas av ny sensor kalibrering attackUK säger det varnade 16 NATO-allierade för ryska hacka activitiesRoot konto inställningar finns i 20 procent av de 1 000 högsta Docker containersSome Elasticsearch säkerhetsfunktioner är nu gratis för everyoneMicrosoft släpper ny version av Attacken Yta Analysator verktyg Varför it-proffs vill dela med sig av information för att bekämpa hot TechRepublicGoogle tar fasta på bedragare webbplatser med nya Chrome-varning CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter