谷歌安全瀏覽API出問題 移動瀏覽器無法顯示攻擊警告

5月25日消息，據ZDNet報道，由亞利桑那州立大學的學者和PayPal員工組成的研究團隊最近宣稱，從2017年年中到2018年年末的一年半時間裡，由於谷歌安全瀏覽API出現問題，導致Chrome、火狐以及Safari等移動瀏覽器無法顯示網路釣魚攻擊警告。

研究人員表示:「我們發現，在頂級移動網路瀏覽器的保護方面存在一個巨大漏洞。令人震驚的是，Chrome、Safari和火狐等移動瀏覽器在2017年年中至2018年末期間沒有顯示任何黑名單警告，儘管存在暗含黑名單保護的安全設置。」不過，這個問題隻影響了使用谷歌安全瀏覽鏈接黑名單技術的移動瀏覽器。

研究團隊已經通知了谷歌這個問題，後者在2018年末將其修復。研究人員稱:「在我們披露這個漏洞後，我們了解到，移動GSB黑名單出現不一致性是由於向一種旨在優化數據使用的新移動API過渡所致，而這種API最終並沒有發揮預期的作用。」

這一重大安全漏洞是在2017年初啟動的、名為PhishFarm的學術研究項目中發現的。在此期間，研究人員創建並部署了2380個模仿PayPal登錄的網路釣魚頁面，但他們沒有測量URL在URL黑名單上出現的速度，而是專註於部署帶有「偽裝技術」的網路釣魚頁面，這些頁面目的是欺騙URL黑名單技術，然後記錄這些「偽裝」的網路釣魚頁面進入「危險網站」列表所花費的時間。

對於PhishFarm，研究人員測試了許多URL黑名單，如谷歌安全瀏覽、微軟智能屏幕以及由US-CERT、Anti-Phishing Working Group、PayPal、PhishTank、Netcraft、WebSense、McAfee和ESET管理的黑名單。此外，研究團隊的網路釣魚頁面還使用了6種偽裝技術，研究人員稱他們在現實世界中已經看到了這些網路釣魚工具的使用。

研究人員表示:「我們發現，能夠代表真實世界攻擊的簡單偽裝技術——包括基於地理位置、設備類型或JavaScript的攻擊，平均能有效降低55%以上被列入黑名單的可能性。每個URL黑名單和偽裝技術的檢測結果各不相同，但最引人注目的是，在使用谷歌安全瀏覽URL黑名單的移動瀏覽器上，許多釣魚攻擊都未被檢測到。」

當研究人員在2018年年中重複他們的測試時，他們得到了同樣的結果，這時他們意識到谷歌的安全瀏覽技術在移動設備上並不像預期的那樣安全。不過研究人員表示，這個問題最終在2018年底得到解決。（小小）

【來源：網易科技報道】

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！