Более года Google Chrome, Firefox и Safari не предупреждали о фишинговых ресурсах

image

Теги: Chrome, Mozilla, Safari, фишинг

Проблема возникла после перехода на новый мобильный API, который не работал как положено.

Более года мобильные версии браузеров Google Chrome, Firefox и Safari не предупреждали своих пользователей о фишинговых ресурсах. Об этом сообщается в исследовании, опубликованном группой специалистов Университета штата Аризона и компании PayPal.

«Мы выявили огромную дыру в безопасности наиболее популярных мобильных браузеров. К нашему огромному удивлению, в период с середины 2017-го до конца 2018 года Chrome, Safari и Firefox не отображали никаких предупреждений о сайтах из черного списка даже при включенных настройках безопасности, обеспечивающих защиту от подобных ресурсов», - сообщили исследователи.

Проблема затронула только браузеры, поддерживаемые технологией Google Safe Browsing. Она возникла после перехода на новый мобильный API, в котором был оптимизирован расход данных. Как оказалось, API не работал как положено. Авторы исследования уведомили о проблеме компанию Google, и в конце прошлого года она была исправлена.

Некорректная работа Google Safe Browsing была выявлена в рамках исследовательского проекта PhishFarm, запущенного в начале 2017 года. В ходе исследования специалисты создали 2380 поддельных страниц авторизации в сервисе PayPal. Исследователи реализовали в них механизмы для обхода черных списков браузеров и проверяли, сколько времени потребуется на то, чтобы эти страницы в итоге оказались в черном списке (если вообще оказались).

Помимо Google Safe Browsing, специалисты протестировали такие технологии, как Microsoft SmartScreen, а также механизмы занесения вредоносных сайтов в черные списки от US-CERT, Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee и ESET.

Узнать подробнее о проекте PhishFarm можно здесь .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.