Datoranvändare har generellt blivit bättre på att upptäcka nätfiskeattacker på senare år, men när det kommer till mobiltelefoner är situationen en helt annan, menar en grupp säkerhetsforskare vid University of California.

Forskarna undersökte 100 appar för Iphone och Android med uppgiften att hitta minst 15 tekniker hackare kan utnyttja genom att skriva elak kod som stjäl en användares namn och lösenord på populära webbplatser.

Forskarna upptäckte att användare är vana att skriva in sina inloggningsuppgifter till Facebook och Twitter i olika appar för att ge dem tillgång till vissa funktioner.

Falsk inloggning
Normalt visas ett fönster som de flesta användare förutsätter visas av antingen Facebook eller Twitter. Det finns dock inget sätt att verifiera att det verkligen är Facebook eller Twitter som samlar in uppgifterna som användarna skriver in.

I vanliga webbläsare på skrivbordsdatorer finns det ofta inbyggda varningsfunktioner för sajter som misstänks för nätfiske. På en mobiltelefon finns inte samma skydd, och tack vare mindre bildskärmar är det svårare för användarna att upptäcka en nätfiskeattack, uppger forskarna i sin rapport.

Enligt forskarna är det teoretisk enkelt för cyberbrottslingar att skapa en app eller en falsk webbsida som samlar in inloggningsuppgifter från användarna.

– Anledningen till att vi genomförde den här studien är att vi såg en potentiell risk med mobiltelefoner och vi har ingen enkel lösning på problemet, säger säkerhetsforskaren David Wagner vid University of California.

Godkända appar ingen garanti
Dave Jevans, vd för Anti-Phishing Working Group, uttrycker även han sin oro för problemet. Normalt har de flesta mobiltelefontillverkare säkerhetskontroller av de program som erbjuds på deras respektive marknadsplats för appar.

Det finns dock enligt Dave Jevans inget hinder för en utvecklare av en app att ändra ett skript på en webbserver som anropas av appen till att göra något helt annorlunda än när appen godkändes.

Det gör det tekniskt möjligt att få en app godkänd till och med av Apple, som senare kan användas för nätfiskeattacker utan att varken användaren eller Apple upptäcker problemet.

Enligt Kevin Mahaffey på säkerhetsföretaget Lookout har man ännu inte sett några exempel på sådana appar, men det handlar bara om en tidsfråga innan de dyker upp.

– Än så länge har hackarna inte listat ut att de kan skapa en legitim app som senare omvandlas till en elak app, säger Kevin Mahaffey.

IDG News