移动端浏览器的作用在很多时候已经被特定的应用程序所替代,但在桌面端,浏览器依然扮演着非常重要的角色,是很多用户工作和生活中使用最为频繁的工具,也是很多 Web 应用与服务的入口。
浏览器安全平台 LayerX 日前发表了年度浏览器安全报告,让大家可以一窥浏览器以及互联网的安全状况,让用户可以有针对性地做出改变,提升安全性。
这份报告既包含了 2022 年最突出的浏览器安全风险,还包括对 2023 年的预测和建议。不过报告研究的重点是企业环境,但其中的一些关键点也同样适用于小型企业和家庭环境。
回顾 2022 年,LayerX 研究发现浏览器的主要安全问题可以分为 9 大类:
- 通过高信誉网站的钓鱼攻击
- 通过文件共享系统传播恶意软件
- 在企业环境中,使用个人浏览器配置导致泄露数据
- 使用版本过时的浏览器
- 薄弱的账号密码
- 易受攻击的非托管设备
- 高风险的浏览器扩展
- 影子 SaaS
- 用 AiTM 攻击绕过 MFA
以网络钓鱼为例,为了减轻网络钓鱼的风险,许多安全供应商通过确定 URL 的安全级别来过滤网站。这种网站安全检查是基于域名的信誉,它是由不同的指标计算出来的,如 URL 历史、IP 信誉、网站的受欢迎程度等等。如果一个网站足够可信,它就能通过检查。
只不过有越来越多的证据表明,网络钓鱼活动通过在合法和受信任的域名(如 Google、微软、AWS、GitHub 等)上托管钓鱼网站来欺骗 URL 过滤供应商。
根据研究,在 2021 年 6 月至 2022 年 6 月之间,在合法的 Saas 平台上托管的新发现的网络钓鱼 URL 的比率增加了 1100% 以上。
Layerx 还进行的一项实验中,测试了商业浏览器和网络安全工具对托管在高信誉域名上的 1-day 网络钓鱼网站的检测能力,结果发现表现最好的浏览器的捕获率仅为 36%(遗漏了大约三分之二的攻击),网络安全软件阻止了 48% 的威胁(遗漏了 50% 以上的攻击)。
在工作环境中使用个人配置会导致多种安全风险:
- Chrome 等浏览器会同步网站和应用程序的密码,这可能会意外地导致敏感的公司密码被同步到个人设备上。
- 文件上传到个人云和文件共享系统是一个主要的数据丢失风险,因为它可能暴露敏感的公司数据。
- 使用带有个人配置的公司应用程序可能导致公司数据泄漏,因为它增加了数据被意外或故意分享到公司以外的风险。
Laverx 对 500 个随机浏览器进行的分析发现,有 29% 的企业用户将浏览器连接到个人配置文件,与被检查的浏览器配置文件相连的 5.8% 的身份在数据泄露中被暴露,这使得涉及这些身份的凭证处于危险之中。
作为主要的工作工具和互联网接入的门户,浏览器自然是黑客普遍针对的攻击点。虽然报告的大部分内容是针对企业和大型商业环境的,但也适用于家庭用户和小型企业。
上述内容仅仅是报告的节选,完整报告共有 19 页,可点击链接下载。