Понад рік мобільні версії браузерів Google Chrome, Firefox і Safari не попереджували своїх користувачів про фішингові ресурси. Про це повідомляється в дослідженні, опублікованому групою фахівців Університету штату Арізона і компанії PayPal.
“Ми виявили величезну дірку в безпеці найбільш популярних мобільних браузерів. До нашого величезного здивування, в період з середини 2017 до кінця 2018 року Chrome, Safari і Firefox не відображається жодних попереджень про сайти з чорного списку навіть при включених налаштуваннях безпеки, що забезпечують захист від подібних ресурсів”, – повідомили дослідники.
Проблема торкнулася тільки браузерів, які підтримували технологію Google Safe Browsing. Вона виникла після переходу на новий мобільний API, в якому була оптимізована витрата даних. Як виявилося, API не працював як належить. Автори дослідження повідомили про проблему компанію Google, і в кінці минулого року вона була виправлена.
Некоректна робота Google Safe Browsing була виявлена в межах дослідницького проекту PhishFarm, запущеного на початку 2017 року. В ході дослідження фахівці створили 2380 підроблених сторінок авторизації в сервісі PayPal. Дослідники реалізували в них механізми для обходу чорних списків браузерів і перевіряли, скільки часу буде потрібно на те, щоб ці сторінки в підсумку виявилися в чорному списку (якщо взагалі виявилися).
Крім Google Safe Browsing, фахівці протестували такі технології, як Microsoft SmartScreen, а також механізми занесення шкідливих сайтів в чорні списки від US-CERT, Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee і ESET.
До речі, співробітники компанії Snap, що володіє великою соціальною мережею Snapchat, використовували свій доступ до внутрішніх інструментів для стеження за користувачами.
Нагадаємо, уразливість BlueKeep у службах віддаленого робочого столу може стати новим вектором для розповсюдження шкідливих програм. У разі використання уразливості кіберзлочинці зможуть отримати доступ до комп’ютера жертви без необхідних облікових даних або взаємодії з користувачем.
Також Google заявила, що додавання телефонного номера для відновлення може заблокувати всі автоматизовані спроби бота для доступу до облікових записів за допомогою облікових даних.
Якщо Вам потрібно запустити програму, але Ви не впевнені, що це безпечно, травневе оновлення для Windows 10 включає функцію пісочниці Windows, розроблену для такого роду завдань У цьому гайді з Windows 10 ми перейдемо до кроків для ввімкнення та початку роботи з функцією Windows Sandbox, доступною з оновленням у травні 2019 року.
