Mobiele browser onveilig door klein beeldscherm
Door de beperkte afmeting van de meeste smartphones is het lastig voor gebruikers van een mobiele browser om te zien dat ze op een potentieel gevaarlijke website zijn beland. Dat stellen onderzoekers van de Georgia Tech Universiteit. Net als de desktopversies geven mobiele browsers op verschillende manieren weer als gebruikers zich op een website bevinden die SSL gebruikt om het verkeer te versleutelen.
Geen enkele mobiele browser zou zich echter aan de beveiligingsrichtlijnen van het World Wide Web Consortium (W3C) voor browserveiligheid houden, zo ontdekten de onderzoekers. Daardoor zouden zelfs ervaren gebruikers niet kunnen bepalen of de websites die ze bezoeken echt zijn, of dat het om phishingsites gaat die gegevens proberen te stelen.
"We vonden kwetsbaarheden in alle 10 de mobiele browsers die we hebben getest, wat bij elkaar meer dan 90% van de browsers is die vandaag in de VS worden gebruikt", zegt assistent-professor Patrick Traynor. "De basisvraag die we stelden was of de browsers wel voldoende informatie gaven zodat een beveiligingsexpert de veiligheid kon bepalen. Bij alle tien de browsers was het antwoord nee."
SSL
Het gaat dan onder andere om de weergave van SSL-certificaten. In veel desktopbrowsers herkenbaar aan een 'slotje'. Deze visuele weergave laat een gebruiker zien dat het verkeer naar de website wordt versleuteld en maakt het mogelijk om de identiteit van de website te controleren. Een andere aanwijzing is de vermelding van HTTPS in de adresbalk.
Het W3C heeft richtlijnen opgesteld voor het weergeven van SSL-iconen in de browser. Desktopbrowsers houden zich hier aan, maar mobiele browsers maken er een potje van. In het beste geval worden de richtlijnen inconsistent gevolgd, maar in veel gevallen wordt er helemaal van afgeweken.
Volgens Traynor is de voornaamste reden het veel kleinere beeldscherm waarmee ontwerpers van mobiele browsers moeten werken. Vaak is er geen ruimte om het SSL-icoon weer te geven zoals op de desktop. De assistent-professor verwacht dan ook meer aanvallen die hier misbruik van zullen maken zolang het probleem niet wordt opgelost.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.