chrome等移动浏览器曾有1年多空窗期 没有警告钓鱼网站-k8凯发天生赢家

chrome等移动浏览器曾有1年多空窗期 没有警告钓鱼网站
作者:cnbeta.com 发布时间:2019-05-26

根据本周发布的研究报告,在过去一年多时间里包括google chrome、mozilla firefox和safari在内的浏览器均没有及时更新钓鱼网站黑名单,无法在用户上网过程中提供妥善的保护。研究小组表示:“我们发现主流移动浏览器在保护措施方面存在巨大漏洞。令人震惊的是,移动端chrome、firefox和safari尽管在安全设置中启用黑名单保护,但是无法对2017年年中至2018年末的钓鱼网站发出提醒。”

1 副本.jpg

2 副本.jpg

这个问题只有使用google safe browsing link blacklisting技术的移动端浏览器受到影响。该研究小组由亚利桑那州立大学的学者和paypal工作人员组成,随后他们向谷歌通报了这个问题,直到2018年年底才正式修复。

3 副本.png

研究人员表示:“根据我们的调查,我们发现由于过渡至新的移动api(设计优化流量使用),导致移动gsb黑名单出现不一致的情况,最终不能按照预期运行。”2017年年初,名为phishfarm的学术研究项目中发现了这一重大安全漏洞。

在调查期间,研究人员创建并部署了2,380个模仿paypal登录页面的网络钓鱼页面。研究人员没有测量他们的网址在网址黑名单上的速度,而是使用使用“隐藏技术”部署网络钓鱼页面,旨在欺骗url黑名单技术,然后记录这些“隐形”网络钓鱼页面落在“危险网站”列表上所花费的时间。

4 副本.png

为了推进phishfarm,科研小组对 google safe browsing、microsoft smartscreen以及其他us-cert、anti-phishing working group, paypal, phishtank, netcraft, websense, mcafee和eset管理的url黑名单进行了测试。

网站地图