image

Mobiele browser onveilig door klein beeldscherm

donderdag 10 januari 2013, 12:08 door Redactie, 0 reacties

Door de beperkte afmeting van de meeste smartphones is het lastig voor gebruikers van een mobiele browser om te zien dat ze op een potentieel gevaarlijke website zijn beland. Dat stellen onderzoekers van de Georgia Tech Universiteit. Net als de desktopversies geven mobiele browsers op verschillende manieren weer als gebruikers zich op een website bevinden die SSL gebruikt om het verkeer te versleutelen.

Geen enkele mobiele browser zou zich echter aan de beveiligingsrichtlijnen van het World Wide Web Consortium (W3C) voor browserveiligheid houden, zo ontdekten de onderzoekers. Daardoor zouden zelfs ervaren gebruikers niet kunnen bepalen of de websites die ze bezoeken echt zijn, of dat het om phishingsites gaat die gegevens proberen te stelen.

"We vonden kwetsbaarheden in alle 10 de mobiele browsers die we hebben getest, wat bij elkaar meer dan 90% van de browsers is die vandaag in de VS worden gebruikt", zegt assistent-professor Patrick Traynor. "De basisvraag die we stelden was of de browsers wel voldoende informatie gaven zodat een beveiligingsexpert de veiligheid kon bepalen. Bij alle tien de browsers was het antwoord nee."

SSL
Het gaat dan onder andere om de weergave van SSL-certificaten. In veel desktopbrowsers herkenbaar aan een 'slotje'. Deze visuele weergave laat een gebruiker zien dat het verkeer naar de website wordt versleuteld en maakt het mogelijk om de identiteit van de website te controleren. Een andere aanwijzing is de vermelding van HTTPS in de adresbalk.

Het W3C heeft richtlijnen opgesteld voor het weergeven van SSL-iconen in de browser. Desktopbrowsers houden zich hier aan, maar mobiele browsers maken er een potje van. In het beste geval worden de richtlijnen inconsistent gevolgd, maar in veel gevallen wordt er helemaal van afgeweken.

Volgens Traynor is de voornaamste reden het veel kleinere beeldscherm waarmee ontwerpers van mobiele browsers moeten werken. Vaak is er geen ruimte om het SSL-icoon weer te geven zoals op de desktop. De assistent-professor verwacht dan ook meer aanvallen die hier misbruik van zullen maken zolang het probleem niet wordt opgelost.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.