viernes, 24 de mayo de 2019

Google Chrome ha estado más de un año sin avisarte si entrabas a webs falsas


Google tiene diversos métodos para protegernos cuando navegamos por Internet. La mayoría de ellos están recogidos dentro de lo que la compañía bautizó como Google Safe Browsing. Sin embargo, una de las protecciones más importantes de esta función no ha funcionado durante más de un año

Google Safe Browsing no ha funcionado en móviles durante año y medio


En concreto, las versiones móviles de Chrome, Firefox y Safari no mostraron advertencias de seguridad al visitar páginas web de phishing entre mediados de 2017 y finales de 2018, a pesar de contar con una lista negra de páginas que deberían haber hecho que el navegador nos alertase. Además de Chrome, otros navegadores utilizan el Safe Browsing para implementar el listado que recopila Google, como los mencionados Firefox y Safari.

Fue un grupo de investigadores de la Universidad Estatal de Arizona quien, junto a trabajadores de PayPal, notificaron a Google del problema en 2018. Finalmente, el fallo fue resuelto a finales de 2018, pero no especifican en qué fecha concreta. El problema radicaba en la transición hacia una nueva API móvil diseñada para optimizar el consumo de datos del navegador, que no funcionaba como debería.

El proyecto de investigación de los académicos dio comienzo a principios de 2017 bajo el nombre de PhishFarm. Mientras que investigaciones previas se habían centrado en calcular cuánto tiempo tardaba una URL falsa que trataba de hacerse pasar por una web real, la investigación buscaba engañar a la lista negra de Google para ver cuánto tiempo tardaban en detectar un tipo de páginas web creadas con técnicas de ocultación.

Las técnicas utilizadas fueron divididas en seis grupos:
  1. Grupo de control, permitiendo acceso a todos los usuarios
  2. Sólo dispositivos móviles que usasen iOS o Android
  3. Sólo usuarios de Estados Unidos que usen ordenadores
  4. Sólo usuarios de fuera de Estados Unidos que usen ordenadores
  5. Bloquear visitantes de direcciones IP asociadas a empresas de seguridad
  6. Permitir sólo navegadores que tengan habilitado JavaScript

Las páginas web de phishing creadas buscaban suplantar a PayPal


En total, crearon 2,380 páginas web con esta técnica que buscaban hacerse pasar por la página de logueo de PayPal. Para comprobar la seguridad, probaron diversas listas negras, incluyendo la de Google Safe Browsing, Microsoft SmartScreen, las que controla el US-CERT, Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee, y ESET.


Finalmente, detectaron que, utilizando estas técnicas, redujeron un 55% la probabilidad de que una página web acabase en la lista negra. Sin embargo, lo que más les llamó la atención es que en los grupos 1, 5 y 6, los navegadores móviles no detectaron ninguna web usando el Safe Browsing.

A mediados de 2018 repitieron los tests, y obtuvieron los mismos resultados, donde el Safe Browsing seguía sin funcionar. Ahí fue cuando avisaron a Google, que finalmente arregló el problema a finales de año.