Mobilní prohlížeče Safari a Opera jsou zranitelnější

28. 4. 2008

Sdílet

Prohlížeče v mobilních zařízení Apple iPhone a Nintendo Vii a NS jsou podle expertů oproti browserům používaným na PC náchylnější k útokům typu phishingu.

Prohlížeče v mobilních zařízení Apple iPhone a Nintendo Vii a NS jsou podle expertů oproti browserům používaným na PC náchylnější k útokům typu phishingu.

Yuan Niu, Francis Hsu, a Hao Chen z University of California v Davisu zveřejnili studii, v níž rozebírají příčiny tohoto stavu. Jedním z problémů je podle nich třeba velikost displeje a s tím spojená délka adresy, která se zobrazí v adresním řádku. Adresa se na těchto zařízeních nadto relativně špatně píše, takže uživatelé, i když si jsou třeba vědomi bezpečnostního rizika, raději klepnou na odkaz v e-mailu než aby adresu přeťukali (což znamená přeťukat viditelnou adresu, nikoliv hyperlink, který může být podvržený) nebo přenesli přes schránku.

Například v herním zařízení Nintendo NS, kde se jako prohlížeč používá mobilní verze Opery, se v adresním řádku zobrazuje jen prvních 22 znaků. Snadno pak lze zaměnit podvodnou adresu www.bankofamerica.com.podvodnadomena.com za regulérní www.bankofamerica.com.

U iPhone, kde se jako prohlížeč používá mobilní verze Safari, lze zase adresu skrýt jednoduchým javascriptovým kódem. Stránka se pak načte „uprostřed“ a adresní řádek uživatel neuvidí (to, že se celá stránka nezobrazí najednou, opět vyplývá z velikosti displeje). Navíc lze skutečnou adresu v řádku i překrýt/přepsat, takže vidí adresu jinou a má pocit, že se nachází na regulérní stránce. Stejně tak lze tímto způsobem předstírat, že pro přenos je používáno SSL (https v řádku adresy).
Nenechte si ujít:
Vydírání se souhlasem: jak přinutit uživatele pornostránek zaplatit?

Šifrovací software se dnes stává v organizacích nutností

Alarmující zjištění: při testování aplikací se používají citlivá data!

PayPal bojuje autentifikací e-mailů proti phishingu

Autoři studie doporučují, aby se portování webových prohlížečů na mobilní zařízení provádělo uvážlivěji. Dokonce i když jsou v těchto aplikacích určité funkce pro zabezpečení k dispozici, uživatelé je nemusí z řady důvodů používat. Poskytovatelům příslušných služeb doporučují mj. filtrování phishingových útoků na úrovni proxy serveru.