Studio: browser Web senza patch Prevalente su Internet

Solo il 59,1 per cento delle persone usa browser Web aggiornati e completamente rattoppati, mettendo il resto a rischio di crescenti minacce da parte di hacker diligenti, secondo un nuovo studio pubblicato da ricercatori in Svizzera.

Lo studio, pubblicato martedì, è una delle più complete analisi di quali versioni dei browser Web le persone utilizzano su Internet. Lo studio è stato condotto da ricercatori presso l'Istituto federale svizzero di tecnologia, Google e IBM Internet Security Services.

I browser Web sono spesso un anello debole nella catena di sicurezza, poiché le vulnerabilità del software possono rendere facile agli hacker il controllo di un PC. Quando ciò accade, gli hacker possono compiere atti dolosi come il furto di dati personali o trasformare i PC in droni spammanti.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Ciò che i ricercatori hanno scoperto è che sebbene il software i fornitori forniscono patch per problemi di sicurezza, può richiedere giorni, settimane o mesi prima che le persone aggiornino le loro applicazioni. Nel frattempo, questi utenti sono a rischio.

Ma non è completamente colpa degli utenti, dal momento che i fornitori di browser Web non hanno reso le patch facili, ha detto Stefan Frei, uno studente di dottorato presso l'istituto, che è noto come ETH Zurigo e uno degli autori del rapporto. Il browser Web è ancora una tecnologia abbastanza giovane, e l'industria deve ancora stabilirsi su un design dominante e ben collaudato, ha detto.

Lo studio ha esaminato i dati del log di server di ricerca e applicazioni Web forniti da Google per vedere quali versioni di i browser Firefox, Opera o Safari erano in uso, ha detto Frei.

Microsoft Internet Explorer, tuttavia, indica solo ai server Web quale versione principale viene utilizzata da una persona, ad esempio IE 6 o IE 7. I ricercatori hanno fatto affidamento sui dati delle persone che ha installato uno strumento sul proprio PC chiamato Personal Software Inspector, della società di sicurezza danese Secunia che può rilevare versioni incrementali di IE, ha detto Frei.

Gli utenti di Firefox sono stati i migliori nell'aggiornamento: l'83,3 percento utilizza l'ultima versione (il studio ha appena guardato Firefox 2.0). Per Safari di Apple, il 65,3 percento usa l'ultima versione; 56,1 percento per Opera e 47,6 percento per Microsoft Internet Explorer.

Firefox di Mozilla è uscito grazie alla sua funzione di aggiornamento automatico, che indica a un utente che è disponibile una nuova patch e offre un modo per aggiornare con un solo clic. Entro tre giorni, la maggior parte degli utenti di Firefox è aggiornata, lo studio ha detto.

Frei consiglia a tutti i produttori di browser di inserire una funzionalità di aggiornamento automatico poiché il processo ora è macchinoso e lento. c'è una nuova versione, ma devono andare sul sito Web di Opera e seguire la stessa procedura di installazione come se avessero inizialmente scaricato il browser per la prima volta, ha detto Frei.

Safari utilizza un programma di aggiornamento esterno che esegue solo il polling per aggiornamenti a determinati intervalli. Gli aggiornamenti di Microsoft sono distribuiti il ​​secondo martedì del mese. Queste lacune nel tempo tra quando una vulnerabilità viene rivelata pubblicamente e una patch per le persone è cruciale, in quanto sono una finestra aperta per un attacco.

Il problema delle patch permissive ricade direttamente sulle spalle dei fornitori di applicazioni - spesso gli utenti Frei ha detto che non è possibile aggiornare visivamente il proprio browser.

Sostiene che i venditori di software prendono spunto dall'industria alimentare e mettono una "data di scadenza" proprio sopra il browser per far conoscere al browser le persone stato. Ad esempio, potrebbe apparire un avvertimento accanto alla barra degli indirizzi: "145 giorni scaduti, tre patch mancanti"

"È un suggerimento non tecnico", ha detto Frei. "Come puoi aspettarti che le persone eseguano l'aggiornamento se non lo sanno nemmeno? Pensiamo che sia come avere un limite di velocità su un'autostrada."

Anche le società di motori di ricerca come Google potrebbero visualizzare lo stesso avviso sopra risultati di ricerca, come la versione del browser viene trasmessa ai suoi server quando qualcuno esegue una query, ha detto Frei.

In alternativa, le società di sicurezza potrebbero rendere la scansione delle applicazioni parte dei loro prodotti di consumo, cosa che hanno fatto per alcuni software di livello aziendale, ha detto Frei.

Ma il problema dei browser obsoleti impallidisce rispetto al pantano della spina -in, che aggiungono funzionalità extra al browser, come Adobe Flash e il programma multimediale QuickTime di Apple.

In media, le persone hanno da sei a 10 plug-in, molti dei quali provengono da diversi fornitori con diversi regimi e pianificazioni di patching, Ha detto Frei.

"Il browser è il pane, e anche se il pane va bene, se il prosciutto è marcio, hai un problema", ha detto Frei.

Solo una vulnerabilità del software in un plug-in può mettere in pericolo il PC di una persona. Frei propone che un'organizzazione come un Computer Emergency Response Team nazionale crei un servizio in cui i browser possano verificare se ha l'ultima versione di un plug-in.

Oltre a Frei, lo studio è stato condotto da Thomas Dübendorfer di Google, Gunter Ollmann di IBM Internet Security Systems e Martin May di ETH. Lo studio sarà presentato alla conferenza di sicurezza Defcon il prossimo mese a Las Vegas.