谷歌安全浏览API出问题 移动浏览器无法显示攻击警告

网易科技讯5月25日消息，据ZDNet报道，由亚利桑那州立大学的学者和PayPal员工组成的研究团队最近宣称，从2017年年中到2018年年末的一年半时间里，由于谷歌安全浏览API出现问题，导致Chrome、火狐以及Safari等移动浏览器无法显示网络钓鱼攻击警告。

研究人员表示:“我们发现，在顶级移动网络浏览器的保护方面存在一个巨大漏洞。令人震惊的是，Chrome、Safari和火狐等移动浏览器在2017年年中至2018年末期间没有显示任何黑名单警告，尽管存在暗含黑名单保护的安全设置。”不过，这个问题只影响了使用谷歌安全浏览链接黑名单技术的移动浏览器。

研究团队已经通知了谷歌这个问题，后者在2018年末将其修复。研究人员称:“在我们披露这个漏洞后，我们了解到，移动GSB黑名单出现不一致性是由于向一种旨在优化数据使用的新移动API过渡所致，而这种API最终并没有发挥预期的作用。”

这一重大安全漏洞是在2017年初启动的、名为PhishFarm的学术研究项目中发现的。在此期间，研究人员创建并部署了2380个模仿PayPal登录的网络钓鱼页面，但他们没有测量URL在URL黑名单上出现的速度，而是专注于部署带有“伪装技术”的网络钓鱼页面，这些页面目的是欺骗URL黑名单技术，然后记录这些“伪装”的网络钓鱼页面进入“危险网站”列表所花费的时间。

对于PhishFarm，研究人员测试了许多URL黑名单，如谷歌安全浏览、微软智能屏幕以及由US-CERT、Anti-Phishing Working Group、PayPal、PhishTank、Netcraft、WebSense、McAfee和ESET管理的黑名单。此外，研究团队的网络钓鱼页面还使用了6种伪装技术，研究人员称他们在现实世界中已经看到了这些网络钓鱼工具的使用。

（编辑：厦门站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!