Computerworld News Service: Det ser ud til, at den almindelige pc-bruger er ved at blive bedre til at genkende falske websites, der forsøger at stjæle kodeord, men når det kommer til mobiltelefoner, er der stadig store problemer med at afkode forsøg på phishing.
Forskere ved University of California, Berkeley, undersøgte for nyligt (pdf) 100 mobilapplikationer udviklet til Android og iOS og designede derefter 15 teknikker, som svindlere potentielt kunne bruge til at skrive skadelige programmer til at stjæle brugernavne og kodeord til websites såsom Facebook eller Twitter.
Denne forskning understreger et vanskeligt emne, der trænger sig mere og mere på, idet brugerne i stigende grad anvender deres mobiltelefoner til at gå på nettet.
Problemet hænger sammen med, at mobilbrugerne bliver vant til at indtaste deres brugernavne og kodeord i deres mobil-apps.
Log ind - og vupti
Første gang en app vil have adgang til en anden - eksempelvis for at give mulighed for at dele noget over Twitter eller Facebook - viser den som regel et vindue, hvor brugeren anmodes om at logge ind på det relevante website.
Men der er som regel ingen måde, brugerne kan sikre sig, at denne login-side er legitim og faktisk tilhører det website, den giver sig ud for at tilhøre.
Browsere på almindelige computere har adresselinjer, som på forskellige måder hjælper webbrugerne til at afgøre, om de er ved at blive narret af phishere, men det står anderledes til i den mobile verden.
Telefonernes skærme er så små, at der ofte simpelthen ikke er plads til den slags beskyttelsesforanstaltninger.
Ved hjælp af test (pdf) har forskerne vist, at det på grund af telefonernes små skærme er næsten umuligt for mobilbrugere at skelne mellem legitime og falske websites.
Forskerne konkluderer, at det vil være let for en kriminel at udvikle et skadeligt program, der enten kan spionere på brugerne, mens de indtaster deres kodeord, eller omdirigere dem til et phishing-site, der ligner det rigtige site på en prik.
Oversat af Thomas Bøndergaard
