Nuevo informe: Solo el 15 % de los indicadores de seguridad recomendados por la W3C, se encuentran en los navegadores móviles

martes, 11 de septiembre de 2018

Existen varios factores por los cuales la navegación por internet utilizando los navegadores web de los dispositivos móviles representa un mayor riesgo para los usuarios. La reducción en el tamaño de pantalla y la reorganización de esta conlleva una disminución en el uso de indicadores visibles de seguridad; la portabilidad de estos equipos hace que se conecten a diversas redes periódicamente según el lugar físico que se ocupe, pudiendo navegar a través de diferentes redes durante el mismo día, etc.

Los indicadores de seguridad de los navegadores web (por ejemplo: detalles del certificado digital, prefijo https, candado verde, barra verde de EV -Extended Validation- que muestra el nombre de la organización propietaria del sitio web...) son una de las pocas defensas que los usuarios tienen contra los ataques que buscan engañarlos para sustraerles su información. Buscan comunicar información de seguridad relevante y ayudan a los usuarios a tomar decisiones informadas sobre los sitios que visitan. Pero, ¿están bien implementados? ¿Cómo tomar la mejor decisión sobre un navegador en Android o iPhone teniendo estos indicadores como principal criterio?

Hemos realizado una investigación con el fin de evaluar los indicadores de seguridad clave en los navegadores web móviles más utilizados del último año, tanto en Android como en iPhone, basándonos en las recomendaciones del World Wide Web Consortium (W3C) para la seguridad en las interfaces de usuario: "Web Security Context: User Interface Guidelines".

Metodología
El World Wide Web Consortium (W3C) define las guías para la presentación y comunicación de la información de seguridad a usuarios de navegadores web, tanto en dispositivos móviles como en PCs. Con el fin de poder cumplir con nuestro objetivo, hemos seleccionado un subconjunto de requerimientos y prohibiciones de las guías, relacionados a indicadores que podrían ayudar a los usuarios a detectar ataques y sitios web maliciosos. Los hemos clasificamos en tres categorías:
  1. Identidad: Aquellos indicadores de seguridad que muestran la identidad del sitio web (información del propietario del sitio y de la autoridad certificante que emitió el certificado) deben estar disponibles al usuario ya sea a través de la interfaz primaria o secundaria durante todo el tiempo de navegación. 
  2. Visibilidad: El contenido web no debe ocultar los indicadores de seguridad al usuario. Generalmente, los indicadores de seguridad de la barra de direcciones son el candado, el prefijo https y la barra verde de EV.
  3. Indicadores de TLS:
    • Presencia: Ningún indicador de interfaz de usuario debe señalar la presencia de un certificado digital, a menos que todas las partes de la página web sean cargadas desde servidores web con certificados válidos. 
    • Proximidad: El contenido no debe ser presentado de manera que permita confusiones entre el contenido web y los indicadores de seguridad del navegador. 
    • Disponibilidad: Los indicadores TLS deben estar disponibles al usuario por medio de la interfaz primaria o secundaria durante todo el tiempo de navegación.
Hemos evaluado siete navegadores web móviles en Android (Chrome, UC Browser, Samsung Internet, QQ Browser, Firefox, Opera, Edge) y seis navegadores web móviles en iPhone (Chrome, Safari, UC Browser, Firefox, Opera Mini, Edge) elegidos por su cuota de mercado en cada una de las plataformas. Hemos comprobado sus características contra las prácticas recomendadas de W3C para los indicadores de seguridad. Por cada uno de los requerimientos ejecutamos la serie de pruebas descritas anteriormente en dos smartphones: Samsung Galaxy J7 Neo con Android Versión 7.0 Nougat e iPhone 7 iOS 11.4, y detallamos nuestras observaciones en las tablas a continuación. Las versiones de navegadores utilizadas en nuestra evaluación son las últimas versiones actualizadas a julio del 2018.

Resultados
Lo que nos deja con esta foto final. En el mundo Android:

navegadores web android identidad y visibilidad imagen

UC Browser y Opera, más usados en zonas asiáticas y africanas, son los que cumplen menos requisitos. Esto puede explicar que en estas zonas los fraudes causados por phishing sean los más altos, como se indica en el informe.

navegadores web android indicadores tls imagen
Ningún navegador en Android permite ver la barra verde cuando se muestra un certificado EV.

En el mundo iPhone:



Ningún navegador cumple ni un solo requisito de identidad. Ningún navegador permite ver información del dominio, dueño o emisor en esta plataforma. Esto hace que en general, en iPhone sea más difícil para el usuario comprobar estos datos y por tanto se convierta en un navegador más propicio para realizar ataques relacionados con la suplantación de identidad de una página como phishing a través de HTTPS o una degradación del cifrado. En general, los navegadores en iPhone poseen mucho menor porcentaje de cumplimiento.

navegadores web iphone indicadores tls imagen

Solo Safari bajo iPone permite ver la barra verde cuando se muestra un certificado EV.

En general, las tablas anteriores se pueden resumir en estas gráficas, donde se observa claramente que si bien Android y Edge son los navegadores que cumplen más indicadores en ambas plataformas, en iPhone el nivel de cumplimiento es mucho más bajo que en Android (un 84% frente a un 46%).

porcentaje de cumplimiento obtenido android imagen

porcentaje de cumplimiento obtenido iPhone imagen

Conclusiones
De nuestro análisis se desprenden las siguientes conclusiones generales:
  • En el mundo Android, Chrome y Edge son los navegadores que más y mejor respetan los indicadores. En iPhone el nivel de cumplimiento es mucho más bajo que en Android.
  • Solo el 15% de los indicadores de seguridad analizados y recomendados por la W3C se encuentran implementados adecuadamente en los navegadores web de dispositivos móviles. Solo 2 de los 13 indicadores (mensajes de alerta en caso de cifrado no seguro e impedir que el favicon reemplace al indicador de seguridad) se implementan en todos los navegadores en ambas plataformas. Ningún navegador móvil permite ver adecuadamente, según la recomendación de la W3C, el contenido mixto. 
  • Los indicadores de seguridad presentes en navegadores web de dispositivos móviles están implementados de forma inconsistente, y varían enormemente entre un navegador y otro.
  • Buena parte de los consejos que se reiteran sobre seguridad web, a usuarios se les instruye a buscar indicadores que no son confiables ni adecuados para las plataformas móviles, como el candado verde que no se encuentra presente en seis de los navegadores analizados y cuyo significado en caso de estar presente no suele ser interpretado correctamente. 
  • Sólo uno de los navegadores analizados (Safari) implementa el indicador de seguridad de validación extendida (la barra verde) para diferenciar los certificados de EV e informar al usuario la identidad del propietario del sitio web. Los usuarios de la mayor parte de los navegadores web móviles no pueden diferenciar en la interfaz de usuario primaria si determinado sitio web utiliza certificados EV, OV o DV.
La interfaz de seguridad de usuario debería ser mejorada para proveer indicadores homogéneos y de utilidad demostrable entre todos los navegadores y eliminar los indicadores no usables, no confiables o que puedan confundir a los usuarios.

En el informe además, se han probado algunos de los ataques más comunes con la intención de verificar su eficacia en los navegadores web para dispositivos móviles analizados. Para ello, seleccionamos cuatro sitios de phishing reales reportados en phishtank.com (y activos al momento de nuestro análisis), y los comparamos contra los sitios originales a los cuales pretendían imitar e incluimos imágenes de cómo serían vistos con cada uno de los navegadores, en cada una de las plataformas. El resultado se refleja en las siguientes tablas.

ataques sufridos por android imagen

ataques sufridos por iPhone imagen
Lo que evidencia que, a falta de cumplimiento de indicadores en iPhone, en general en esta plataforma son más los navegadores proclives a sufrir algún tipo de ataque.

El informe completo se encuentra disponible en:





Innovación y laboratorio
innovationlab@11paths.com
ElevenPaths

1 comentario: