it-swarm-es.com

¿Vulnerabilidades comunes solo en soluciones móviles?

Me preguntaba si existen amenazas para las aplicaciones web utilizadas en teléfonos móviles que no se hayan conocido anteriormente en los navegadores de "tamaño completo".

No he oído hablar de ningún problema grave o común que afecte únicamente a los navegadores móviles.

Por favor responda si conoce alguno.

12
naugtur

Sí. Los navegadores móviles generalmente corren un mayor riesgo de seguridad que los navegadores de escritorio de tamaño completo, por varias razones. Aquí hay unos ejemplos:

  • Tap-jacking. Tap-jacking es más poderoso en los navegadores de teléfonos modernos (en comparación con los navegadores de escritorio de tamaño completo): consulte este documento .

  • Phishing y suplantación de UI. Los navegadores de teléfonos móviles no reservan espacio en la pantalla para el "navegador Chrome" y sus indicadores de seguridad correspondientes: por ejemplo, la barra de direcciones , iconos de candados o signos de HTTP/HTTPS/EV-HTTPS, etc. En particular, las páginas web pueden ir a pantalla completa y desplazarse fuera del cromo del navegador, sin dejar el cromo del navegador. Una vez que la página web lo ha hecho, na página web maliciosa podría dibujar una barra de direcciones falsificada . En n estudio de usuario , casi todos los usuarios fueron engañados por un ataque de phishing de este tipo. Esto puede suponer un mayor riesgo: por ejemplo, de phishing, clickjacking y otros ataques relacionados con factores humanos o de ingeniería social en el usuario.

  • Sitios web móviles vulnerables. Muchos sitios web ofrecen sitios separados específicamente para clientes móviles. Esas versiones del sitio optimizadas para dispositivos móviles a menudo tienen vulnerabilidades que no están presentes en el sitio normal; consulte, por ejemplo, este documento para ver algunos ejemplos de esto (relacionados con el secuestro de clics).

  • Vulnerabilidades relacionadas con la vista web. Muchas aplicaciones móviles utilizan vistas web para integrar sin problemas una página web en la aplicación. Sin embargo, al menos en Android, si las vistas web no se utilizan con cuidado, pueden introducir vulnerabilidades que permiten que un sitio web malintencionado haga un mal uso del acceso de la aplicación al teléfono y la información del usuario . Este riesgo es específico de los sistemas móviles.

7
D.W.

Esas vulnerabilidades deberían apuntar al sistema de navegación de los dispositivos móviles.

Desafortunadamente, no tengo un ejemplo al respecto, pero este ejemplo parece si incluso el iPhone tiene un problema similar a XSRF. Las páginas web pueden iniciar aplicaciones y activar acciones en las aplicaciones: http://www.dhanjani.com/blog/2010/11/insecure-handling-of-url-schemes-in-apples-ios.html

2
Phoenician-Eagle

Aquí hay un ejemplo de: http://threatpost.com/en_us/blogs/researcher-publishes-Android-browser-exploit-11081

"El investigador MJ Keith publicó un Reverse Shell Exploit que afecta a los dispositivos móviles que ejecutan el sistema operativo Android 2.0 y 2.1 el 5 de noviembre. El código Shell aprovecha una vulnerabilidad conocida que afecta a WebKit, un componente común de los navegadores web, incluido el incluido con Android. que se utiliza para representar el contenido de la página web y administrar las sesiones de navegación web. El agujero podría desencadenarse al visitar un sitio web malicioso, según una descripción del agujero publicada por Mitre ".

Actualización 26/01/11:

Esto fue publicado en el grupo de noticias del Dailydave el 26/01/11:

Probablemente ya haya descubierto que este error está en Webkit. Nuestro equipo de investigación está comprobando qué es y qué no es vulnerable. Los resultados iniciales son los siguientes: tenemos un exploit en desarrollo para Android. El iPhone debería ser vulnerable, todavía estamos investigando eso. Chrome es un poco temprano para llamar, todavía estamos probando allí. El sonido aquí es este: cualquier cosa que dependa de Webkit debe revisarse.

Recapitulación: Sí, hay vulnerabilidades que pueden afectar solo a las soluciones móviles.

2
Tate Hansen

¿Tienen los navegadores móviles algún controlador de protocolo/archivo especial, como marcador o SMS?

1
atdre