Estudo: Navegadores da Web sem patch Prevalent na Internet

Apenas 59,1% das pessoas usam navegadores atualizados e totalmente atualizados, colocando o restante em risco de ameaças crescentes de hackers diligentes, de acordo com um novo estudo publicado por pesquisadores na Suíça.

O estudo, publicado na terça-feira, é uma das análises mais abrangentes de quais versões de navegadores da Web as pessoas estão usando na Internet. O estudo foi conduzido por pesquisadores do Instituto Federal Suíço de Tecnologia, Google e IBM Internet Security Services.

Os navegadores da Web geralmente são um elo fraco na cadeia de segurança, pois vulnerabilidades de software facilitam o controle de um hacker. PC. Quando isso acontece, os hackers podem realizar atos maliciosos, como roubar dados pessoais ou transformar PCs em drones spams..

[Leia mais: Como remover malware do seu PC Windows]

O que os pesquisadores descobriram é que, embora o software Os fornecedores fornecem patches para problemas de segurança, e podem levar dias, semanas ou meses até que as pessoas atualizem seus aplicativos. Enquanto isso, esses usuários estão em risco.

Mas não é totalmente culpa dos usuários, já que os vendedores de navegadores não fizeram remendos com facilidade, disse Stefan Frei, um estudante de doutorado do instituto, conhecido como ETH. Zurique e um dos autores do relatório. O navegador ainda é uma tecnologia relativamente jovem, e a indústria ainda precisa estabelecer um projeto dominante e bem testado, disse ele. O estudo analisou dados de registros de busca e de servidor de aplicativos fornecidos pelo Google para ver quais versões os navegadores Firefox, Opera ou Safari estavam usando, disse Frei.

O Internet Explorer, da Microsoft, apenas informa aos servidores Web qual versão principal uma pessoa está usando, como IE 6 ou IE 7. Os pesquisadores confiaram em dados de pessoas que instalaram uma ferramenta em seu PC chamada Personal Software Inspector, da empresa de segurança dinamarquesa Secunia, que pode detectar versões incrementais do IE, disse Frei.

Os usuários do Firefox foram os melhores em atualização: 83,3% estão usando a versão mais recente estudo apenas olhou para o Firefox 2.0). Para o Safari da Apple, 65,3% usam a versão mais recente; 56,1% para o Opera e 47,6% para o Internet Explorer da Microsoft.

O Firefox da Mozilla ficou no topo devido ao seu recurso de atualização automática, que informa ao usuário que um novo patch está disponível e oferece uma maneira de atualizar. Em três dias, a maioria dos usuários do Firefox está atualizada, segundo o estudo.

Frei recomenda que todos os criadores de navegador usem um recurso de atualização automática, já que o processo agora é incômodo e lento.

existe uma nova versão, mas eles precisam acessar o site do Opera e passar pelo mesmo processo de instalação como se tivessem inicialmente baixado o navegador pela primeira vez, disse Frei.

O Safari usa um atualizador externo que apenas pesquisa atualizações em determinados intervalos. As atualizações da Microsoft são distribuídas na segunda terça-feira do mês. Essas lacunas no tempo entre o momento em que uma vulnerabilidade é divulgada publicamente e os patches de uma pessoa são cruciais, pois são uma janela aberta para um ataque.

O problema do patch frouxo recai sobre os ombros dos fornecedores de aplicativos - os usuários frequentemente simplesmente não pode saber visualmente se o navegador precisa ser atualizado, disse Frei.

Ele defende que os fornecedores de software sigam a dica da indústria alimentícia e coloquem uma "data de expiração" no navegador para que as pessoas saibam que o navegador Estado. Por exemplo, um aviso poderia aparecer ao lado da barra de endereços: "145 dias expirados, faltando três patches"

"É uma sugestão não técnica", disse Frei. "Como você pode esperar que as pessoas façam a atualização se nem ao menos souberem? Achamos que é o mesmo que ter um limite de velocidade em uma rodovia".

Mesmo empresas de mecanismos de busca como o Google poderiam exibir o mesmo aviso acima resultados de busca, como a versão do navegador é transmitida para seus servidores quando alguém realiza uma consulta, Frei disse.

Alternativamente, as empresas de segurança poderiam tornar a varredura da versão do aplicativo parte de seus produtos de consumo, o que eles fizeram para alguns softwares de nível corporativo, disse Frei. Mas o problema dos navegadores desatualizados empalidece em comparação com o atoleiro do plug -ins, que adicionam funcionalidade extra ao navegador, como o Flash da Adobe e o programa multimídia QuickTime da Apple.

Em média, as pessoas têm de 6 a 10 plug-ins, muitos dos quais vêm de diferentes fornecedores com diferentes regimes e cronogramas de correção., Frei disse.

"O navegador é o pão, e mesmo que o pão esteja bem, se o presunto estiver podre, você tem um problema", disse Frei.

Apenas uma vulnerabilidade de software em um plug-in pode colocar o PC de uma pessoa em perigo. Frei propõe que uma organização como a Equipe Nacional de Resposta a Emergências de Computadores crie um serviço onde os navegadores possam verificar se possui a versão mais recente de um plug-in.

Além de Frei, o estudo também foi conduzido por Thomas Dübendorfer, do Google. Gunter Ollmann, da IBM Internet Security Systems, e Martin May, da ETH. O estudo será apresentado na conferência de segurança da Defcon no próximo mês em Las Vegas.