Navegadores móviles solo respetan el 15% de los indicadores de la W3C

Existen varios factores por los cuales la navegación por internet utilizando los navegadores web de los dispositivos móviles representa un mayor riesgo para los usuarios. La reducción en el tamaño de pantalla y la reorganización de esta conlleva una disminución en el uso de indicadores visibles de seguridad; la portabilidad de estos equipos hace que se conecten a diversas redes periódicamente según el lugar fí­sico que se ocupe, pudiendo navegar a través de diferentes redes durante el mismo dí­a, etc.

Los indicadores de seguridad de los navegadores web (por ejemplo: detalles del certificado digital, prefijo https, candado verde, barra verde de EV -Extended Validation- que muestra el nombre de la organización propietaria del sitio web…) son una de las pocas defensas que los usuarios tienen contra los ataques que buscan engañarlos para sustraerles su información. Buscan comunicar información de seguridad relevante y ayudan a los usuarios a tomar decisiones informadas sobre los sitios que visitan. Pero, ¿están bien implementados? ¿Cómo tomar la mejor decisión sobre un navegador en Android o iPhone teniendo estos indicadores como principal criterio?

ElevenPaths ha realizado una investigación con el fin de evaluar los indicadores de seguridad clave en los navegadores web móviles más utilizados del último año, tanto en Android como en iPhone, basándonos en las recomendaciones del World Wide Web Consortium (W3C) para la seguridad en las interfaces de usuario: «Web Security Context: User Interface Guidelines«.

Metodologí­a

El World Wide Web Consortium (W3C) define las guí­as para la presentación y comunicación de la información de seguridad a usuarios de navegadores web, tanto en dispositivos móviles como en PCs. Con el fin de poder cumplir con nuestro objetivo, hemos seleccionado un subconjunto de requerimientos y prohibiciones de las guí­as, relacionados a indicadores que podrí­an ayudar a los usuarios a detectar ataques y sitios web maliciosos. Los hemos clasificamos en tres categorí­as:

browsers1.png

1- Identidad: aquellos indicadores de seguridad que muestran la identidad del sitio web (información del propietario del sitio y de la autoridad certificante que emitió el certificado) deben estar disponibles al usuario ya sea a través de la interfaz primaria o secundaria durante todo el tiempo de navegación.

2- Visibilidad: el contenido web no debe ocultar los indicadores de seguridad al usuario. Generalmente, los indicadores de seguridad de la barra de direcciones son el candado, el prefijo https y la barra verde de EV.

3- Indicadores de TLS:

  • Presencia: ningún indicador de interfaz de usuario debe señalar la presencia de un certificado digital, a menos que todas las partes de la página web sean cargadas desde servidores web con certificados válidos.
  • Proximidad: El contenido no debe ser presentado de manera que permita confusiones entre el contenido web y los indicadores de seguridad del navegador.
  • Disponibilidad: los indicadores TLS deben estar disponibles al usuario por medio de la interfaz primaria o secundaria durante todo el tiempo de navegación.

ElevenPaths evaluó siete navegadores web móviles en Android (Chrome, UC Browser, Samsung Internet, QQ Browser, Firefox, Opera, Edge) y seis navegadores web móviles en iPhone (Chrome, Safari, UC Browser, Firefox, Opera Mini, Edge) elegidos por su cuota de mercado en cada una de las plataformas. Han comprobado sus caracterí­sticas contra las prácticas recomendadas de W3C para los indicadores de seguridad. Por cada uno de los requerimientos ejecutamos la serie de pruebas descritas anteriormente en dos smartphones: Samsung Galaxy J7 Neo con Android Versión 7.0 Nougat e iPhone 7 iOS 11.4, y detallamos nuestras observaciones en las tablas a continuación.


Contenido completo en fuente original ElevePaths

Fuente:

blog.segu-info.com.ar

Compartir: