Prohlížeče pro mobilní zařízení zvyšují riziko phishingu

22. 4. 2008

Sdílet

Například v herním zařízení Nintendo NS, kde se jako prohlížeč používá mobilní verze Opery, se v adresním řádku zobrazuje jen prvních 22 znaků. Snadno pak lze zaměnit podvodnou adresu www.bankofamerica.com.podvodnadomena.com za regulérní www.bankofamerica.com.

Prohlížeče v mobilních zařízení Apple iPhone a Nintendo Vii a NS jsou oproti těm používaným na PC náchylnější k útokům typu phishingu.
Yuan Niu, Francis Hsu, a Hao Chen z University of California v Davisu zveřejnili studii, v níž rozebírají příčiny tohoto stavu. Jedním z problémů je podle nich třeba velikost displeje a s tím spojená délka adresy, která se zobrazí v adresním řádku. Adresa se na těchto zařízeních nadto relativně špatně píše, takže uživatelé, i když si jsou třeba vědomi bezpečnostního rizika, raději klepnou na odkaz v e-mailu než aby adresu přeťukali (což znamená přeťukat viditelnou adresu, nikoliv hyperlink, který může být podvržený) nebo přenesli přes schránku.
Například v herním zařízení Nintendo NS, kde se jako prohlížeč používá mobilní verze Opery, se v adresním řádku zobrazuje jen prvních 22 znaků. Snadno pak lze zaměnit podvodnou adresu www.bankofamerica.com.podvodnadomena.com za regulérní www.bankofamerica.com.
U iPhone, kde se jako prohlížeč používá mobilní verze Safari, lze zase adresu skrýt jednoduchým javascriptovým kódem. Stránka se pak načte „uprostřed“ a adresní řádek uživatel neuvidí (to, že se celá stránka nezobrazí najednou, opět vyplývá z velikosti displeje). Navíc lze skutečnou adresu v řádku i překrýt/přepsat, takže vidí adresu jinou a má pocit, že se nachází na regulérní stránce. Stejně tak lze tímto způsobem předstírat, že pro přenos je používáno SSL (https v řádku adresy).
Autoři studie doporučují, aby se portování webových prohlížečů na mobilní zařízení provádělo uvážlivěji. Dokonce i když jsou v těchto aplikacích určité funkce pro zabezpečení k dispozici, uživatelé je nemusí z řady důvodů používat. Poskytovatelům příslušných služeb doporučují mj. filtrování phishingových útoků na úrovni proxy serveru.

Zdroj: CNet

Viz také:
Obavy z bezpečnosti iPhonu stále zavírají dveře do firem
Uživatelé se mobilních hrozeb obávají, ale sami proti nim nedělají nic

Autor článku