Более года Google Chrome, Firefox и Safari не предупреждали о фишинговых ресурсах
Проблема возникла после перехода на новый мобильный API, который не работал как положено.
Более года мобильные версии браузеров Google Chrome, Firefox и Safari не предупреждали своих пользователей о фишинговых ресурсах. Об этом сообщается в исследовании, опубликованном группой специалистов Университета штата Аризона и компании PayPal. «Мы выявили огромную дыру в безопасности наиболее популярных мобильных браузеров. К нашему огромному удивлению, в период с середины 2017-го до конца 2018 года Chrome, Safari и Firefox не отображали никаких предупреждений о сайтах из черного списка даже при включенных настройках безопасности, обеспечивающих защиту от подобных ресурсов», — сообщили исследователи.
Проблема затронула только браузеры, поддерживаемые технологией Google Safe Browsing. Она возникла после перехода на новый мобильный API, в котором был оптимизирован расход данных. Как оказалось, API не работал как положено. Авторы исследования уведомили о проблеме компанию Google, и в конце прошлого года она была исправлена.
Некорректная работа Google Safe Browsing была выявлена в рамках исследовательского проекта PhishFarm, запущенного в начале 2017 года. В ходе исследования специалисты создали 2380 поддельных страниц авторизации в сервисе PayPal. Исследователи реализовали в них механизмы для обхода черных списков браузеров и проверяли, сколько времени потребуется на то, чтобы эти страницы в итоге оказались в черном списке (если вообще оказались).
Помимо Google Safe Browsing, специалисты протестировали такие технологии, как Microsoft SmartScreen, а также механизмы занесения вредоносных сайтов в черные списки от US-CERT, Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee и ESET.
Узнать подробнее о проекте PhishFarm можно здесь .