1. Inicio
  2. Pregunta y respuesta
  3. ¿Cómo previene el phishing en la aplicación móvil?

¿Cómo previene el phishing en la aplicación móvil?

2012-09-15 9 views
12

Imagine un escenario en el que un juego X instalado en su dispositivo móvil desea acceder a la información de su cuenta desde la red social Y. Suponga que Y expone algunas API y tiene funciones como "iniciar sesión con Y", etc. nueva ventana del navegador, con el dominio de Y claramente en la barra de direcciones, con un icono de candado que indica claramente la conexión SSL, y en esta ventana emergente, la red social Y le pide al usuario que ingrese el nombre de usuario, contraseña y acuerdo para pasar información avatar, correo electrónico) a la aplicación X. Por ejemplo, OAuth 2 usa este enfoque.¿Cómo previene el phishing en la aplicación móvil?

En mi opinión, en el móvil la situación es bastante diferente, ya que la aplicación X puede tomar el control de toda la pantalla. En particular, puede dibujar en la pantalla del dispositivo algo que es indistinguible de un navegador real y secuestrar el inicio de sesión y la contraseña proporcionados por el usuario.

¿Cómo se pueden combatir las aplicaciones maliciosas que cubren toda la pantalla y pretenden ser navegadores, o incluso las ventanas de configuración del sistema operativo, etc.?

Fuente

2012-09-15 qbolec

+0

tienen una protección decente de maleware/adware? – jbutler483

Respuesta

3

No hay defensa contra esta tecnológica, incluso en el escritorio. Es trivial imitar el aspecto de un navegador y dibujar un bloqueo SSL verde en una barra de direcciones falsa. O simplemente puede incluir un registrador de teclas con su aplicación para obtener las contraseñas ingresadas en cualquier aplicación en el mismo sistema.

Para aplicaciones móviles que incluyen un registrador de teclas es más difícil. Dibujar una ventana de navegador falso convincente es fácil. Una defensa adicional es el proceso de revisión de una tienda de aplicaciones. Una tienda de aplicaciones oficial como la única fuente de aplicaciones confiables mitiga problemas como este hasta cierto punto. Si bien las aplicaciones maliciosas pueden pasar por alto cualquier proceso de revisión, se pueden eliminar una vez que se descubran.

Fuente

2014-09-05 09:23:15 orkoden

2

¿Qué le parece: hacer doble clic en el botón de inicio para que pueda ver los nombres de las aplicaciones?
iOS example

Fuente

2014-09-04 23:38:11

+1

¿El "botón de inicio" es un botón físico, o una parte de la GUI gráfica, que se puede fingir? – qbolec

+0

El botón de inicio del iPhone es un botón físico. – orkoden

0

También puede ejecutar el administrador de tareas para ver el nombre de la aplicación, es decir, com.android.chrome. Creo que Google no permitirá en el mercado dos aplicaciones con el mismo nombre.

Fuente

2014-09-05 12:31:42 user3906612

Cuestiones relacionadas

 Cuestiones relacionadas