Vulnerabilità comuni solo nelle soluzioni mobili?

12

Mi chiedevo se ci sono minacce per le applicazioni web utilizzate sui telefoni cellulari che non erano conosciute nei browser "full size" in precedenza.

Non ho sentito di problemi gravi o comuni che riguardano solo i browser mobili.

Rispondi se ne conosci uno.

    
posta naugtur 13.11.2010 - 22:51
fonte

4 risposte

7

Sì. I browser per dispositivi mobili sono generalmente più a rischio per la sicurezza rispetto ai browser desktop di dimensioni standard, per una serie di motivi. Ecco alcuni esempi:

  • Tap-jacking. Tap-jacking è più potente sui moderni browser di telefono (rispetto ai browser desktop di dimensioni standard): vedi questo documento .

  • Phishing e spoofing dell'interfaccia utente. I browser per cellulari non riservano la proprietà dello schermo per il "browser chrome" e i relativi indicatori di sicurezza corrispondenti, ad esempio la barra degli indirizzi, le icone o i simboli del lucchetto di HTTP / HTTPS / EV-HTTPS, ecc. In particolare, le pagine Web possono andare a schermo intero e scorrere via il browser chrome, senza lasciare il browser chrome. Una volta che la pagina web lo ha fatto, una pagina Web dannosa potrebbe disegnare una barra degli indirizzi falsificata . In uno studio utente , quasi ogni singolo utente è stato ingannato da un attacco di phishing di questo tipo. Ciò potrebbe comportare un aumento del rischio: ad esempio, phishing, clickjacking e altri attacchi di social engineering o di fattori umani dell'utente.

  • Siti web mobili vulnerabili. molti siti Web offrono siti separati appositamente per i client mobili. Quelle versioni ottimizzate per dispositivi mobili del sito hanno spesso vulnerabilità non presenti nel sito normale; vedi, ad esempio, questo documento per alcuni esempi di questo (relativo al clickjacking).

  • Vulnerabilità correlate alla Webview. Molte applicazioni mobili utilizzano le visualizzazioni Web per incorporare senza problemi una pagina Web nell'applicazione. Tuttavia, almeno su Android, se le visualizzazioni web non vengono utilizzate con attenzione, possono introdurre vulnerabilità che consentono a un sito Web dannoso di utilizzare in modo improprio l'accesso dell'applicazione al telefono e alle informazioni dell'utente . Questo rischio è specifico per i sistemi mobili.

risposta data 27.01.2011 - 07:53
fonte
2

Queste vulnerabilità dovrebbero essere indirizzate al sistema di navigazione dei dispositivi mobili.

Purtroppo non ho un esempio su questo, ma questo esempio sembra come se anche l'iPhone ha un problema simile a XSRF. Le pagine Web possono avviare app e attivare azioni nelle app: link

    
risposta data 14.11.2010 - 01:38
fonte
2

Ecco un esempio da: link

"Researcher MJ Keith published a Reverse Shell Exploit that affects mobile devices running Android's 2.0 and 2.1 operating system on November 5. The shell code takes advantage of a known vulnerability affecting WebKit, a common component of Web browsers, including the one bundled with Android, that is used to render Web page content and manage Web browsing sessions. The hole could be triggered by visiting a malicious Web site, according to a description of the hole published by Mitre."

Aggiornamento il 26/01/11:

Questo è stato pubblicato sul newsgroup di Dailydave il 26/01/11:

You've probably already figured out that this bug is in Webkit. Our research team is currently checking out what is and is not vulnerable. The initial results are this: we've got an exploit in development for Android. The iPhone should be vulnerable, we're still researching that. Chrome is a bit early to call, we're still testing there. The sound bite here is this: anything that depends on Webkit should be checked out.

Ridisponi: Sì, ci sono vulnerabilità che possono influenzare solo le soluzioni mobili.

    
risposta data 14.11.2010 - 06:24
fonte
1

I browser mobili hanno gestori di file / protocolli speciali come dialer o SMS?

    
risposta data 14.11.2010 - 14:39
fonte

Leggi altre domande sui tag