Naukowcy z UoC wzięli pod lupę ok. 100 popularnych aplikacji mobilnych, dostępnych dla systemów iOS oraz Android. Przeanalizowali ich zachowanie, a następnie opracowali zestaw 15 technik, które można w łatwy sposób wykorzystać do wykradania danych dostępowych np. do serwisów społecznościowych - czyli m.in. Facebooka i Twittera.

"Problem polega na tym, że użytkownicy smartfonów są przyzwyczajeni do podawania danych logowania w różnych aplikacjach. Robią to gdy tylko jakaś aplikacja wyświetli monit o hasło, i to bez głębszego zastanowienia" - mówią autorzy badania.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła

Chodzi o to, że wiele programów dla urządzeń mobilnych wyposażonych jest w opcję publikowania lub przesyłania danych na zewnętrznej stronie WWW - może to być np. automatyczne wpisywanie wyników w grze na facebookowej tablicy użytkownika. Aby było to możliwe, program musi być w stanie zalogować się na kontro użytkownika w FB i dlatego prosi o wprowadzenie danych logowania. Niestety, użytkownik nie ma właściwie możliwości sprawdzenia, czy żądanie hasła jest uzasadnione oraz czy jest ono przesyłane w bezpieczny sposób.

W komputerze sprawa wygląda zupełnie inaczej - w standardowej przeglądarce użytkownik widzi adres witryny, informację o zapieczeniach, certyfikacie itp. Jeśli więc ktoś spróbuje w ten sposób wyłudzić od niego dane, istnieje duża szansa, że użytkownik sam się zorientuje, że coś jest nie tak. W urządzeniu mobilnym jest zupełnie inaczej - na niewielkim ekranie wyświetlane są tylko podstawowe informacje.

Podczas testów naukowcy dowiedli, że przeciętny użytkownik nie jest w stanie zorientować się, kiedy żądająca od niego hasła aplikacja jest "legalna", a kiedy jest ona narzędziem wykradających dane przestępców.

"Obawiam się, że dopóki nie opracujemy nowych metod wymiany danych pomiędzy aplikacjami, dopóty zjawisko to może być poważnym problemem. Przeprowadziliśmy te badania by pokazać wszystkich, że istnieje poważne zagrożenie dla użytkowników urządzeń mobilnych, a obecnie na rynku nie ma skutecznego zabezpieczenia" - stwierdził David Wagner z Berkeley.

Naukowcy obawiają się, że tą słabością smartfonów mogą wkrótce zainteresować się przestępcy - efektem będzie pojawienie się programów, które pod pozorem współpracy z Facebookiem czy Twitterem będą wykradały hasła użytkowników.

Warto jednak dodać, że trwają już prace nad stworzeniem skutecznego zabezpieczenia przed takim procederem - Markus Jakobsson, główny specjalista ds. bezpieczeństwa użytkowników w firmie PayPal, jest w trakcie tworzenia aplikacji o nazwie Spoof Killer. Jej zadaniem ma być kontrolowanie, które aplikacje mają prawo pobierać i przetwarzać poufne dane, a także automatyczne blokowanie programów, które nielegalnie próbują pozyskać takie informacje.