Bezpieczeństwo przeglądarek mobilnych, jak to jest?

W ubiegłym miesiącu analitycy z Georgia Institute of Technology opublikowali wyniki badań, z których wynika, że mobilne przeglądarki internetowe bardzo często nie dostarczają informacji pozwalających stwierdzić, czy dana strona jest bezpieczna, czy nie – a to z powodu ograniczeń interfejsu użytkownika.

Najbardziej kłopotliwą przeszkodą okazuje się sposób wyświetlania danych o SSL. W porównaniu z komputerami stacjonarnymi, przeglądarki mobilne dysponują ograniczonymi możliwościami informowania o tym, czy dana strona używa SSL. Co prawda przy obecności podstawowych zabezpieczeń pojawia się ikonka kłódki, ale bardziej zaawansowane funkcje mogą być mniej widoczne. W przypadku desktopów przeglądarki informują całkiem wyraźnie np. o organizacjach odpowiadających za długoterminowe certyfikaty, a w przeglądarkach mobilnych nie zawsze jest to jasno pokazane.

„Przyczyna tego stanu rzeczy jest prosta: ograniczone możliwości interfejsu użytkownika. Urządzenia mobilne dysponują znacznie mniejszą ilością miejsca w porównaniu z desktopami, a wyraźnym priorytetem dla projektantów ich interfejsów jest prostota. Prowadzi to do ograniczenia ilości wyświetlanych informacji, również tych, które mogłyby pomóc użytkownikowi w ocenie tego, czy dana strona jest autentyczna, czy nie” – mówi Aleksander Łapiński, Sales Engineer w firmie Trend Micro.

Można to uznać za przyczynę sytuacji, o której mowa w raporcie z badań: użytkownicy mobilni stają się ofiarami phishingu częściej niż osoby korzystające z desktopów.

Użytkownikom mobilnym bardzo łatwo przychodzi uznanie ich urządzeń przenośnych za coś, co po prostu samo działa i nie jest związane z żadnym zagrożeniem. Trudno o większą pomyłkę. Dzisiejsze urządzenia przenośne to w pełni funkcjonalne komputery ze wszystkimi konsekwencjami tego faktu. Przeglądarki mobilne są zdolne do obsługi równie zaawansowanych skryptów, co przeglądarki stacjonarne. Jak powiedział podczas kwietniowych warsztatów APEC Warren Tsai, Product Manager w firmie Trend Micro: „przeglądarka mobilna to superfunkcjonalna aplikacja o mocy równej wersji desktopowej”.

W większości wypadków można się z tego tylko cieszyć. Umożliwia to tworzenie coraz większej liczby przydatnych stron, które lepiej odpowiadają potrzebom użytkowników mobilnych. Jednak każda legalna działalność może być, i w końcu będzie, przeprowadzona nielegalnie. Mamy zatem do czynienia z potężnymi przeglądarkami i ich ufnymi użytkownikami. Jak wskazują wspomniane wyżej badania, może powodować to wiele problemów.

Jak powinni zareagować użytkownicy? Najważniejsze to uświadomić sobie, że nasze urządzenie przenośne rzeczywiście naraża nas na ryzyko. Zachowujmy się więc rozsądnie: nie otwierajmy podejrzanych maili, nie klikajmy w podejrzane odnośniki. Jeśli mamy wobec czegoś wątpliwości – lepiej to zostawić. Również aplikacje stworzone do konkretnych zadań wcale nie są cudownym remedium na te problemy, kilka miesięcy temu przyglądał im się David Sancho, który odkrył, że niektóre z nich są równie narażone na atak.

W dziedzinie bezpieczeństwa przeglądarek mobilnych jest wiele do zrobienia. Im więcej luk pozostaje niezałatanych, tym większe prawdopodobieństwo, że ktoś je w końcu wykorzysta, dając początek kolejnym poważnym zagrożeniom wymierzonym w użytkowników mobilnych.