Studi: Browser Web Yang Tidak Ditandingi Lazim di Internet

Hanya 59,1 persen orang menggunakan peramban Web yang sepenuhnya ter-patch, menempatkan sisa risiko dari ancaman yang berkembang dari peretas yang rajin, menurut sebuah studi baru yang diterbitkan oleh para peneliti di Swiss..

Penelitian yang diterbitkan hari Selasa, adalah salah satu analisis paling komprehensif tentang versi peramban web apa yang digunakan orang di Internet. Penelitian ini dilakukan oleh para peneliti di Institut Teknologi Federal Swiss, Google, dan Layanan Keamanan Internet IBM.

Browser web sering kali merupakan tautan yang lemah dalam rantai keamanan, karena kerentanan perangkat lunak dapat memudahkan peretas untuk mengendalikan PC. Ketika itu terjadi, peretas dapat melakukan tindakan jahat seperti mencuri data pribadi atau mengubah PC menjadi drone yang menghamburkan spam.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Apa yang ditemukan para peneliti adalah bahwa meskipun perangkat lunak vendor menyediakan tambalan untuk masalah keamanan, dapat memakan waktu berhari-hari, berminggu-minggu atau berbulan-bulan sebelum orang memperbarui aplikasi mereka. Sementara itu, para pengguna itu beresiko.

Tapi itu bukan sepenuhnya kesalahan pengguna, karena vendor browser web tidak benar-benar membuat tambalan mudah, kata Stefan Frei, seorang mahasiswa doktoral di institut tersebut, yang dikenal sebagai ETH Zurich, dan salah satu penulis laporan. Peramban web masih merupakan teknologi yang cukup muda, dan industri ini belum menyelesaikan desain yang dominan dan teruji dengan baik, katanya.

Penelitian ini mengamati data log server pencarian aplikasi dan Web yang disediakan oleh Google untuk melihat versi Firefox, Opera atau Safari browser yang digunakan orang, kata Frei.

Microsoft Internet Explorer, bagaimanapun, hanya memberitahu server Web versi utama apa yang digunakan seseorang, seperti IE 6 atau IE 7. Para peneliti mengandalkan data dari orang-orang. yang telah menginstal alat pada PC mereka yang disebut Personal Software Inspector, dari perusahaan keamanan Denmark Secunia yang dapat mendeteksi versi tambahan IE, Frei mengatakan.

Pengguna Firefox adalah yang terbaik dalam peningkatan: 83,3 persen menggunakan versi terbaru (belajar hanya melihat pada Firefox 2.0). Untuk Apple's Safari, 65,3 persen menggunakan versi terbaru; 56,1 persen untuk Opera dan 47,6 persen untuk Microsoft Internet Explorer.

Mozilla Firefox keluar di atas karena fitur pembaruan otomatisnya, yang memberi tahu pengguna tambalan baru tersedia dan menawarkan cara satu-klik untuk meningkatkan. Dalam waktu tiga hari, sebagian besar pengguna Firefox sudah diperbarui, kata penelitian.

Frei menyarankan agar semua pembuat browser memasukkan fitur pembaruan otomatis karena prosesnya sekarang rumit dan lambat.

Sekarang, pengguna Opera diberitahu ada versi baru, tetapi mereka harus pergi ke situs web Opera dan melalui proses instalasi yang sama seolah-olah mereka pada awalnya mengunduh peramban untuk pertama kalinya, kata Frei.

Safari menggunakan pembaru eksternal yang hanya menyediakan jajak pendapat untuk pembaruan pada interval tertentu. Pembaruan Microsoft didistribusikan pada hari Selasa kedua setiap bulan. Kesenjangan waktu antara ketika kerentanan diungkapkan secara terbuka dan patch seseorang sangat penting, karena mereka adalah jendela terbuka untuk serangan.

Masalah dengan tambalan lemah jatuh tepat di pundak vendor aplikasi - pengguna sering tidak bisa secara visual mengetahui apakah browser mereka perlu ditingkatkan, kata Frei.

Dia menganjurkan vendor perangkat lunak mengambil isyarat dari industri makanan dan meletakkan "tanggal kadaluwarsa" tepat di atas peramban untuk memberi tahu orang-orang tentang peramban negara. Misalnya, peringatan dapat muncul di samping bilah alamat: "145 hari berakhir, tiga patch hilang"

"Ini adalah saran non-teknis," kata Frei. "Bagaimana Anda bisa mengharapkan orang-orang bahwa mereka menjalankan pembaruan jika mereka bahkan tidak tahu? Kami pikir itu sama dengan memiliki batas kecepatan di jalan raya."

Bahkan perusahaan mesin pencari seperti Google dapat menampilkan peringatan yang sama di atas hasil pencarian, ketika versi peramban ditransmisikan ke servernya ketika seseorang melakukan kueri, kata Frei.

Selain itu, perusahaan keamanan dapat membuat versi aplikasi memindai bagian dari produk konsumen mereka, yang telah mereka lakukan untuk beberapa perangkat lunak tingkat perusahaan, Frei mengatakan.

Tapi masalah browser yang sudah usang tidak ada artinya dibandingkan dengan rawa-rawa steker -ins, yang menambahkan fungsi ekstra ke peramban, seperti Adobe Flash dan program multimedia QuickTime Apple.

Rata-rata, orang memiliki antara enam hingga 10 plug-in, banyak di antaranya berasal dari vendor yang berbeda dengan rezim dan jadwal tambalan yang berbeda., Kata Frei.

"Peramban adalah roti, dan bahkan jika rotinya baik-baik saja, jika hamnya busuk, Anda punya masalah," kata Frei.

Hanya satu kerentanan perangkat lunak dalam plug-in yang bisa menempatkan PC seseorang dalam bahaya. Frei mengusulkan agar organisasi seperti Tim Tanggap Darurat Komputer nasional membuat layanan di mana browser dapat memverifikasi jika memiliki versi terbaru dari sebuah plug-in.

Selain Frei, penelitian juga dilakukan oleh Thomas Dübendorfer dari Google, Gunter Ollmann dari IBM Internet Security Systems dan Martin May dari ETH. Studi ini akan dipresentasikan pada konferensi keamanan Defcon bulan depan di Las Vegas.