Me preguntaba si existen amenazas para aplicaciones web utilizadas en teléfonos móviles que no se hayan conocido anteriormente en los navegadores de "tamaño completo".
No he oído hablar de ningún problema grave o común que afecte solo a los navegadores móviles.
Por favor, responda si sabe uno.
Sí. Los navegadores móviles generalmente tienen un mayor riesgo de seguridad que los navegadores de escritorio de tamaño completo, por varias razones. Aquí hay algunos ejemplos:
Toma de control. La toma de toque es más poderosa en los navegadores de teléfonos modernos (en comparación con los de escritorio de tamaño completo): consulte este documento .
Suplantación de identidad y phishing. Los navegadores de teléfonos móviles no reservan el espacio de la pantalla para el "navegador cromo" y sus indicadores de seguridad correspondientes: por ejemplo, la barra de direcciones, los íconos de los candados o las señales. de HTTP / HTTPS / EV-HTTPS, etc. En particular, las páginas web pueden ir a pantalla completa y desplazar el navegador Chrome, sin dejar ningún navegador. Una vez que la página web lo haya hecho, una página web malintencionada podría dibujar una barra de direcciones falsificada . En estudio de un usuario , casi todos los usuarios fueron engañados por un ataque de phishing de este tipo. Esto puede suponer un riesgo mayor: por ejemplo, para el phishing, el clickjacking y otros ataques relacionados con la ingeniería social o factores humanos en el usuario.
Sitios web móviles vulnerables. Muchos sitios web ofrecen sitios separados específicamente para clientes móviles. Esas versiones optimizadas para dispositivos móviles del sitio a menudo tienen vulnerabilidades que no están presentes en el sitio normal; vea, por ejemplo, este documento para ver algunos ejemplos de esto (relacionados con el clickjacking).
Vulnerabilidades relacionadas con la vista web. Muchas aplicaciones móviles usan vistas web para integrar sin problemas una página web en la aplicación. Sin embargo, al menos en Android, si las vistas web no se utilizan con cuidado, pueden introducir vulnerabilidades que permiten a un sitio web malicioso utilizar incorrectamente el acceso de la aplicación al teléfono e información del usuario . Este riesgo es específico de los sistemas móviles.
Esas vulnerabilidades deben estar dirigidas al sistema de navegación de los dispositivos móviles.
Desafortunadamente, no tengo un ejemplo en eso, pero este ejemplo parece como si incluso el iPhone tiene un problema similar al XSRF. Las páginas web pueden iniciar aplicaciones y desencadenar acciones en las aplicaciones: enlace
Aquí hay un ejemplo de: enlace
"El investigador MJ Keith publicó una Reverse Shell Exploit que afecta a los dispositivos móviles que funcionan con los sistemas operativos Android 2.0 y 2.1 el 5 de noviembre. El código de la shell aprovecha una vulnerabilidad conocida que afecta a WebKit, un componente común de los navegadores web, incluido el paquete con Android, que se utiliza para representar el contenido de la página web y administrar las sesiones de navegación web. El agujero podría activarse visitando un sitio web malicioso, de acuerdo con una descripción del agujero publicado por Mitre ".
Actualización 01/26/11:
Esto se publicó en el grupo de noticias del Dailydave el 26/01/11:
Probablemente ya hayas descubierto que este error está en Webkit. Nuestro El equipo de investigación está revisando qué es y no es vulnerable. Los resultados iniciales son los siguientes: tenemos un exploit en desarrollo para Androide. El iPhone debería ser vulnerable, todavía estamos investigando eso. Chrome es un poco pronto para llamar, todavía estamos probando allí. El sonido Aquí está esto: cualquier cosa que dependa de Webkit debe ser revisada.
Re-cap: Sí, existen vulnerabilidades que solo pueden afectar a las soluciones móviles.
Lea otras preguntas en las etiquetas web-browser mobile