Les chercheurs slam volage iPhone anti-fraude de la fonction
L'iPhone défense -- destiné à empêcher les utilisateurs d'atteindre des sites de phishing -- est incompatible, au mieux, un chercheur en sécurité, a déclaré aujourd'hui, avec certains utilisateurs d'obtenir des avertissements sur les liens dangereux, tandis que d'autres sont autorisés à allègrement surfer pénale Url.
D'autres experts ont dit que le volage fonctionnalité est pire que pas de défense à tous.
Apple a discrètement ajouté un anti-fraude de la fonctionnalité de l'iPhone navigateur Safari avec la mise à jour 3.1 de l'iPhone, publié mercredi. Mais selon Michael Sutton, le vice-président de la recherche sur la sécurité à Sunnyvale, en Californie.-basé Zscaler, la nouvelle protection est "clairement d'avoir des problèmes."
Au premier abord, a dit Sutton, l'anti-phishing fonctionnalité n'était tout simplement pas de travail. "Il a été le blocage de rien," Sutton réclamé après le test de l'iPhone 3.1 nouvel outil de mercredi contre une liste des sites frauduleux. Le jeudi, les choses s'étaient améliorées, mais à peine. "Hier, il a commencé à bloquer certains sites, pour certains utilisateurs, mais il est incohérent. Certains sites sont bloqués, d'autres ne le sont pas."
Qui a conduit Sutton à croire que la fonctionnalité de ces fonctions n'était pas le problème, mais la manière dont Apple mises à jour aux utilisateurs une "liste noire" de sites malveillants. Apple s'appuie sur Google SafeBrowsing API (interface de programmation d'application) pour les données sous-jacentes utilisées pour construire anti-phishing et anti-malware blocage des listes pour l'édition de bureau de son navigateur Safari. Les autres éditeurs de navigateurs, y compris Google et Mozilla, également utiliser SafeBrowsing.
"Il semble que certains iPhones sont obtenir en temps opportun les mises à jour [Apple], mais d'autres ne le sont pas, ou sont en train d'évoluer [block list] flux" Sutton dit. "Je me sens mieux sur la fonction que j'étais mercredi, mais clairement Apple ont encore des problèmes. Avec l' [media] la couverture du problème, ils sont peut-être le résoudre, ou tenter de le faire."
Jeudi, des chercheurs d'Intego Mac de seul fournisseur de logiciel antivirus, fait écho à Sutton conclusions.
"Cette fonctionnalité doit avertir les utilisateurs qu'ils peuvent être la visite d'un malveillant connu site Web et leur demander s'ils souhaitent continuer", a déclaré Peter James, un porte-parole pour Intego qui écrit de la société Mac security blog. "Toutefois, nous avons testé cette fonctionnalité, en jetant des dizaines des Url de phishing, et simplement, il ne semble pas fonctionner. Les url qui sont bloqués par Safari sous Mac OS X d'ouvrir et de diriger les utilisateurs vers des pages malveillantes [sur l'iPhone]."
Comme Sutton, James incohérences dans la lutte anti-fraude de la fonction de l'efficacité. "Tout ce que nous avons trouvé est que parfois ça marche et parfois ça ne marche pas", a déclaré James. "C'est nettement plus dangereux que pas de protection du tout, parce que si les utilisateurs pensent qu'ils sont protégés, ils sont de moins en moins attention aux liens sur lesquels ils cliquent."
La nouvelle fonctionnalité est activée par défaut dans l'iPhone 3.1; l'option pour le désactiver est dans Réglages/Safari/Sécurité, et est répertorié comme "Alerte à la Fraude."
Sutton, bien que disposés à concéder que Apple global est l'amélioration de sa sécurité "track record", a déploré l'état de la sécurité mobile en général, et de l'iPhone en particulier.
"La plus grande inquiétude pour moi, c'est que nous faisons les mêmes erreurs dans le mobile que nous avons fait sur le bureau," dit-il. "Sur le bureau, la sécurité a obtenu doucement mieux, mais [mobile] nous avons un nouveau départ. J'aurais pensé que nous avions appris de nos erreurs, mais il n'y a pratiquement pas de protection dans les navigateurs mobiles."
Selon des recherches menées par NSS Labs, qui a été embauché par Microsoft pour comparer les différents navigateurs de bureau, la capacité à bloquer les logiciels espions chargés de sites, Safari sous Mac OS X et Windows bloqué seulement un sur cinq sites malveillants. Internet Explorer et Firefox, pendant ce temps, bloqué à 80% et 27%, respectivement. Google Chrome a bloqué un maigre 7% des sites.
Le mois dernier, NSS Labs a attribué les disparités entre les navigateurs Firefox, Safari et Google -- l'utilisation d'SafeBrowsing, comme base de leurs listes noires, à des différences dans la façon dont chaque navigateur tordu, alors appliqué, les listes.
Date de publication: D'autres experts ont dit que le volage fonctionnalité est pire que pas de défense à tous.
Apple a discrètement ajouté un anti-fraude de la fonctionnalité de l'iPhone navigateur Safari avec la mise à jour 3.1 de l'iPhone, publié mercredi. Mais selon Michael Sutton, le vice-président de la recherche sur la sécurité à Sunnyvale, en Californie.-basé Zscaler, la nouvelle protection est "clairement d'avoir des problèmes."
Au premier abord, a dit Sutton, l'anti-phishing fonctionnalité n'était tout simplement pas de travail. "Il a été le blocage de rien," Sutton réclamé après le test de l'iPhone 3.1 nouvel outil de mercredi contre une liste des sites frauduleux. Le jeudi, les choses s'étaient améliorées, mais à peine. "Hier, il a commencé à bloquer certains sites, pour certains utilisateurs, mais il est incohérent. Certains sites sont bloqués, d'autres ne le sont pas."
Qui a conduit Sutton à croire que la fonctionnalité de ces fonctions n'était pas le problème, mais la manière dont Apple mises à jour aux utilisateurs une "liste noire" de sites malveillants. Apple s'appuie sur Google SafeBrowsing API (interface de programmation d'application) pour les données sous-jacentes utilisées pour construire anti-phishing et anti-malware blocage des listes pour l'édition de bureau de son navigateur Safari. Les autres éditeurs de navigateurs, y compris Google et Mozilla, également utiliser SafeBrowsing.
"Il semble que certains iPhones sont obtenir en temps opportun les mises à jour [Apple], mais d'autres ne le sont pas, ou sont en train d'évoluer [block list] flux" Sutton dit. "Je me sens mieux sur la fonction que j'étais mercredi, mais clairement Apple ont encore des problèmes. Avec l' [media] la couverture du problème, ils sont peut-être le résoudre, ou tenter de le faire."
Jeudi, des chercheurs d'Intego Mac de seul fournisseur de logiciel antivirus, fait écho à Sutton conclusions.
"Cette fonctionnalité doit avertir les utilisateurs qu'ils peuvent être la visite d'un malveillant connu site Web et leur demander s'ils souhaitent continuer", a déclaré Peter James, un porte-parole pour Intego qui écrit de la société Mac security blog. "Toutefois, nous avons testé cette fonctionnalité, en jetant des dizaines des Url de phishing, et simplement, il ne semble pas fonctionner. Les url qui sont bloqués par Safari sous Mac OS X d'ouvrir et de diriger les utilisateurs vers des pages malveillantes [sur l'iPhone]."
Comme Sutton, James incohérences dans la lutte anti-fraude de la fonction de l'efficacité. "Tout ce que nous avons trouvé est que parfois ça marche et parfois ça ne marche pas", a déclaré James. "C'est nettement plus dangereux que pas de protection du tout, parce que si les utilisateurs pensent qu'ils sont protégés, ils sont de moins en moins attention aux liens sur lesquels ils cliquent."
La nouvelle fonctionnalité est activée par défaut dans l'iPhone 3.1; l'option pour le désactiver est dans Réglages/Safari/Sécurité, et est répertorié comme "Alerte à la Fraude."
Sutton, bien que disposés à concéder que Apple global est l'amélioration de sa sécurité "track record", a déploré l'état de la sécurité mobile en général, et de l'iPhone en particulier.
"La plus grande inquiétude pour moi, c'est que nous faisons les mêmes erreurs dans le mobile que nous avons fait sur le bureau," dit-il. "Sur le bureau, la sécurité a obtenu doucement mieux, mais [mobile] nous avons un nouveau départ. J'aurais pensé que nous avions appris de nos erreurs, mais il n'y a pratiquement pas de protection dans les navigateurs mobiles."
Selon des recherches menées par NSS Labs, qui a été embauché par Microsoft pour comparer les différents navigateurs de bureau, la capacité à bloquer les logiciels espions chargés de sites, Safari sous Mac OS X et Windows bloqué seulement un sur cinq sites malveillants. Internet Explorer et Firefox, pendant ce temps, bloqué à 80% et 27%, respectivement. Google Chrome a bloqué un maigre 7% des sites.
Le mois dernier, NSS Labs a attribué les disparités entre les navigateurs Firefox, Safari et Google -- l'utilisation d'SafeBrowsing, comme base de leurs listes noires, à des différences dans la façon dont chaque navigateur tordu, alors appliqué, les listes.
Auteur: Keylogger.Org L'Équipe
