13 sep. 2018

Navegadores móviles solo respetan el 15% de los indicadores de la W3C [ElevenPaths]

Existen varios factores por los cuales la navegación por internet utilizando los navegadores web de los dispositivos móviles representa un mayor riesgo para los usuarios. La reducción en el tamaño de pantalla y la reorganización de esta conlleva una disminución en el uso de indicadores visibles de seguridad; la portabilidad de estos equipos hace que se conecten a diversas redes periódicamente según el lugar físico que se ocupe, pudiendo navegar a través de diferentes redes durante el mismo día, etc.

Los indicadores de seguridad de los navegadores web (por ejemplo: detalles del certificado digital, prefijo https, candado verde, barra verde de EV -Extended Validation- que muestra el nombre de la organización propietaria del sitio web...) son una de las pocas defensas que los usuarios tienen contra los ataques que buscan engañarlos para sustraerles su información. Buscan comunicar información de seguridad relevante y ayudan a los usuarios a tomar decisiones informadas sobre los sitios que visitan. Pero, ¿están bien implementados? ¿Cómo tomar la mejor decisión sobre un navegador en Android o iPhone teniendo estos indicadores como principal criterio?

ElevenPaths ha realizado una investigación con el fin de evaluar los indicadores de seguridad clave en los navegadores web móviles más utilizados del último año, tanto en Android como en iPhone, basándonos en las recomendaciones del World Wide Web Consortium (W3C) para la seguridad en las interfaces de usuario: "Web Security Context: User Interface Guidelines".

Metodología

El World Wide Web Consortium (W3C) define las guías para la presentación y comunicación de la información de seguridad a usuarios de navegadores web, tanto en dispositivos móviles como en PCs. Con el fin de poder cumplir con nuestro objetivo, hemos seleccionado un subconjunto de requerimientos y prohibiciones de las guías, relacionados a indicadores que podrían ayudar a los usuarios a detectar ataques y sitios web maliciosos. Los hemos clasificamos en tres categorías:
  1. Identidad: aquellos indicadores de seguridad que muestran la identidad del sitio web (información del propietario del sitio y de la autoridad certificante que emitió el certificado) deben estar disponibles al usuario ya sea a través de la interfaz primaria o secundaria durante todo el tiempo de navegación.
  2. Visibilidad: el contenido web no debe ocultar los indicadores de seguridad al usuario. Generalmente, los indicadores de seguridad de la barra de direcciones son el candado, el prefijo https y la barra verde de EV.
  3. Indicadores de TLS:
    • Presencia: ningún indicador de interfaz de usuario debe señalar la presencia de un certificado digital, a menos que todas las partes de la página web sean cargadas desde servidores web con certificados válidos.
    • Proximidad: El contenido no debe ser presentado de manera que permita confusiones entre el contenido web y los indicadores de seguridad del navegador.
    • Disponibilidad: los indicadores TLS deben estar disponibles al usuario por medio de la interfaz primaria o secundaria durante todo el tiempo de navegación.
ElevenPaths evaluó siete navegadores web móviles en Android (Chrome, UC Browser, Samsung Internet, QQ Browser, Firefox, Opera, Edge) y seis navegadores web móviles en iPhone (Chrome, Safari, UC Browser, Firefox, Opera Mini, Edge) elegidos por su cuota de mercado en cada una de las plataformas. Han comprobado sus características contra las prácticas recomendadas de W3C para los indicadores de seguridad. Por cada uno de los requerimientos ejecutamos la serie de pruebas descritas anteriormente en dos smartphones: Samsung Galaxy J7 Neo con Android Versión 7.0 Nougat e iPhone 7 iOS 11.4, y detallamos nuestras observaciones en las tablas a continuación.

Contenido completo en fuente original ElevePaths

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!