For mere end et år, mobile browsere som Google Chrome, Firefox og Safari har undladt at vise nogen phishing-advarsler til brugerne, ifølge en undersøgelse offentliggjort i denne uge.
“Vi har konstateret et gabende hul i beskyttelsen af top mobile web-browsere,” forskerholdet sagde.
“Chokerende, mobile Chrome, Safari og Firefox ikke kunnet vise nogen sortliste advarsler fra medio 2017 og slutningen af 2018 til trods for tilstedeværelsen af sikkerhedsindstillinger, der stiltiende sortliste beskyttelse.”
Problemet kun påvirket mobile browsere, der sagsøges for Googles Sikker Browsing link sortlistning teknologi.
Forsknings-team-bestående af forskere fra Arizona State University og PayPal personale — anmeldt af Google problemet, og problemet var løst i slutningen af 2018.
“Efter vores fremlæggelse, vi har lært, at den manglende sammenhæng i mobile GSB sortlistning var på grund af overgangen til en ny mobil API designet til at optimere brug af de data, som i sidste ende ikke fungerede efter hensigten,” siger forskerne.
PhishFarm forskningsprojekt
Opdagelsen af denne betydelige sikkerhed bug kom under en akademisk forskningsprojekt ved navn PhishFarm, startede i begyndelsen af 2017.
Under PhishFarm, forskere skabt og indsat 2,380 phishing-sider for at efterligne PayPal login-side. Forskerne ikke måle, hvor hurtigt deres Webadresser landede på URL-blacklister. Denne type af forskning er blevet udført i fortiden.
I stedet har de fokuseret på implementering af phishing-sider med “cloaking teknikker”, der tager sigte på at narre URL sorte liste teknologier, og derefter optagelse af den tid, det tog for disse “skjulte” phishing-sider til at lande på lister over “farlige steder” — eller hvis de landede på alle.
For PhishFarm, forskere testet URL sortlister som Google beskyttet Browsing, Microsoft SmartScreen, og disse administreres af US-CERT, Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee, og ESET.
Billede: Oest et al.
Yderligere, forskerholdet phishing-sider, der også er anvendt i seks (faktisk fem) cloaking teknikker forskere siger, at de har set anvendt af phishing-kits i den virkelige verden:
– En kappe – tillad, at alle brugere at se phishing-side, også kendt som en no-kappe-tilstand anvendes som en baseline for alle påvisninger
– Kappe B – tillad kun brugere fra mobile enheder
– Kappe C – tillad kun OS brugere fra stationære enheder
– Kappe D – tillader kun, at ikke-AMERIKANSKE brugere fra stationære enheder
– Kappe E – blok besøgende fra IP-adresser, der er kendt for at være forbundet med sikkerhed leverandører
– Kappe F – tillad kun browsere, hvor JavaScript er aktiveret
Billede: Oest et al.
“Vi fandt, at simple cloaking teknikker repræsentant for den virkelige verden-angreb – herunder dem, der er baseret på geolocation, enhedstypen eller JavaScript – var effektiv i at reducere sandsynligheden for sortlistning af over 55% i gennemsnit,” siger forskerne.
Resultaterne varierede per URL sortlister og tilsløring teknik [check grafer i slutningen af forskning papir], men de ting, der stod ud i løbet af deres forskning var, at kapper A, E, og F havde nul opdagelser på mobile browsere, der blev ved hjælp af Googles Sikker Browsing URL sorte liste.
Når forskerne gentog deres forsøg i midten af 2018 til, at de fik de samme resultater, på hvilket tidspunkt de indså, at Googles beskyttet Browsing-teknologi var ikke virker efter hensigten på mobile enheder. [En kappe der var reelt en “ingen kappe,” hvilket betyder, at Sikker Browsing, ikke var at advare brugerne om eventuelle phishing-sider, selv hvis de anvendes tilsløring teknologi eller ikke-reelt ikke arbejder på alle].
Spørgsmålet til sidst blev fastsat ved udgangen af 2018, siger forskerne.
Mere om denne forskning kan findes i et papir med titlen “PhishFarm: En Skalerbare metoder til at Måle Effektiviteten af Skatteunddragelse Teknikker Mod Browser Phishing Sortlister,” til rådighed for download i PDF-format fra her, her eller her.
Lukning @IEEESSP #sp19 Adam Oest præsenterer “PhishFarm: En Skalerbare metoder til at Måle Effektiviteten af Skatteunddragelse Teknikker Mod Browser Phishing Sortlister” pic.twitter.com/gTdQYYCIhX
— Elissa Redmiles (@eredmil1) 22 Maj 2019
Relaterede cybersecurity dækning:
Google forskning: de Fleste hacker-til-leje service er fraudsAndroid og iOS-enheder, der er ramt af ny sensor kalibrering attackUK siger, at det advaret 16 NATO-allierede af russiske hacking activitiesRoot konto forkerte konfigurationer, der er fundet i 20% af top 1.000 Docker containersSome Elasticsearch sikkerhedsfunktioner er nu gratis for everyoneMicrosoft frigiver ny version af Angreb Overflade Analyzer nytte, Hvorfor cybersecurity fordele vil dele information for at bekæmpe trusler, TechRepublicGoogle tager sigte på bedrager hjemmesider med nye Chrome advarsel CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre