立異易聯接待您!13年專一深圳網站扶植

谷歌寧靜閱讀API出題目,挪動閱讀器沒法顯現進犯正告

日期:2020-05-25 | 來歷:易聯網站扶植公司 | 閱讀:

由亞利桑那州立大學的學者和PayPal員工構成的研討團隊比來傳布鼓吹,從2017年年中到2018年年末的一年半時候里,因為谷歌寧靜閱讀API呈現題目,致使Chrome、火狐和Safari等挪動閱讀器沒法顯現收集垂釣進犯正告。




研討職員表現:“咱們發明,在頂級挪動收集閱讀器的掩護方面存在一個龐大縫隙。使人震動的是,Chrome、Safari和火狐等挪動閱讀器在2017年年中至2018年末時代不顯現任何黑名單正告,雖然存在暗含黑名單掩護的寧靜設置。”不過,這個題目只影響了利用谷歌寧靜閱讀鏈接黑名單手藝的挪動閱讀器。


研討團隊已告訴了谷歌這個題目,后者在2018年末將其修復。研討職員稱:“在咱們表露這個縫隙后,咱們領會到,挪動GSB黑名單呈現不分歧性是因為向一種旨在優化數據利用的新挪動API過渡而至,而這類API終究并不闡揚預期的感化。”


這一嚴重寧靜縫隙是在2017年頭啟動的、名為PhishFarm的學術研討名目中發明的。在此時代,研討職員建立并安排了2380個仿照PayPal登錄的收集垂釣頁面,但他們不丈量URL在URL黑名單上呈現的速率,而是專一于安排帶有“假裝手藝”的收集垂釣頁面,這些頁面目標是棍騙URL黑名單手藝,而后記實這些“假裝”的收集垂釣頁面進入“風險網站”列表所破費的時候。


對PhishFarm,研討職員測試了很多URL黑名單,如谷歌寧靜閱讀、微軟智能屏幕和由US-CERT、Anti-Phishing Working Group、PayPal、PhishTank、Netcraft、WebSense、McAfee和ESET辦理的黑名單。另外,研討團隊的收集垂釣頁面還利用了6種假裝手藝,研討職員稱他們在實際天下中已看到了這些收集垂釣東西的利用。


研討職員表現:“咱們發明,可以或許代表實在天下進犯的簡略假裝手藝——包含基于地輿地位、裝備范例或JavaScript的進犯,均勻能有用下降55%以上被參加黑名單的能夠性。每個URL黑名單和假裝手藝的檢測成果各不不異,但最惹人注視標是,在利用谷歌寧靜閱讀URL黑名單的挪動閱讀器上,很多垂釣進犯都未被檢測到。”


當研討職員在2018年年中頻頻他們的測試時,他們獲得了一樣的成果,這時候他們認識到谷歌的寧靜閱讀手藝在挪動裝備上并不像預期的那樣寧靜。不過研討職員表現,這個題目終究在2018年末獲得處理。


—— 微信公家號 ——

熱點標簽