Certyfikaty w przeglądarkach mobilnych
Czym jest certyfikat SSL?
Certyfikat SSL symbolizowany jest poprzez zieloną kłódkę, która znajduje się w pasku adresu, obok adresu strony internetowej. Certyfikat ten jest gwarancją zachowania poufności oraz integralności danych podczas komunikacji.
Obecność certyfikatu SSL jest bardzo ważna na tych stronach internetowych, na których wpisujemy poufne dane. W szczególności są to sklepy internetowe, poczty elektroniczne, czy inne serwisy, gdzie podajemy swoje dane logowania, dane adresowe, kontaktowe lub inne.
Certyfikat SSL nie gwarantuje jednak, że dana strona jest autentyczna, co jest błędnym przeświadczeniem wielu osób. Często wykorzystywane jest to przez przestępców w atakach phishing. Dane logowania, które podamy na fałszywej stronie bankowości z zieloną kłódką zostaną w bezpieczny (zaszyfrowany) sposób przesłane do... cyberprzestępców.
Certyfikat SSL, czyli zieloną kłódkę na swojej stronie internetowej może mieć każdy. Taki certyfikat można uzyskać za darmo (np. poprzez urząd certyfikacji Let's Encrypt), a podmioty wystawiające je nie weryfikują danych podmiotu lub osoby, dla której go wystawiają.
Czym jest certyfikat SSL EV?
Spośród certyfikatów SSL wyróżnia się jeden z jego rodzajów - SSL EV (z ang. extended validation). Charakterystyczną cechą tego certyfikatu jest wyświetlanie nazwy organizacji obok zielonej kłódki w pasku adresu.
Tak wygląda certyfikat SSL EV na stronie PayPal - obok zielonej kłódki znajduje się nazwa organizacji.
Aby uzyskać certyfikat SSL EV należy spełnić szereg wymagań. Organizacja, która się o niego ubiega jest szczegółowo sprawdzana. Certyfikat ten nie jest darmowy.
Certyfikaty SSL EV posiadają wszystkie strony logowania do bankowości. W pasku adresu, po lewej stronie obok zielonej kłódki będzie widoczna nazwa banku.
Więcej o certyfikatach SSL możesz przeczytać tutaj: /certyfikat-ssl-ev-2/
Certyfikaty w przegladarkach mobilnych
Nieco inaczej sprawa ma się z przeglądarkami mobilnymi, których używamy na co dzień na naszych smartfonach. Sprawdziliśmy najpopularniejsze z nich, aby dowiedzieć się jak prezentowane są w nich certyfikaty SSL EV.
Okazało się, że sposób prezentacji tej ważnej informacji z punktu widzenia bezpieczeństwa nie jest zbyt dobrze rozwiązany. Na sprawdzonych przeglądarkach użytkownikowi nie był jasno prezentowany certyfikat SSL EV, a w niektórych przeglądarkach wręcz nie można było go zweryfikować.
TL;DR - tabela podsumowująca
Poniżej pokazujemy na przykładzie oryginalnej strony PayPal jak wygląda certyfikat SSL EV na najpopularniejszych przeglądarkach mobilnych.
W przeglądarce Opera wyświetlana jest jedynie zielona kłódka. Po kliknięciu w nią wyświetla się tylko informacja, że strona jest bezpieczna. To zdecydowanie za mało. Próżno szukać tu informacji, że jest to certyfikat SSL EV - obok zielonej kłódki nie widzimy nazwy organizacji - PayPal, tak jak ma to miejsce w przeglądarce na komputerze. Dodatkowo nie jesteśmy w stanie sprawdzić innych szczegółów cetryfikatu.
Przeglądarka firmy Mozilla certyfikat SSL EV wyświetla w ten sam sposób jak Opera - poprzez zwykłą zieloną kłódkę, bez dodatkowych informacji. Kliknięcie w kłódkę pozwala nam jednak sprawdzić podmiot, dla którego został wystawiony certyfikat SSL EV. Jak widzimy na poniższym screenie, w podglądzie znajduje się informacja, że certyfikat jest wystawiony dla firmy PayPal. Oznacza to, że strona jest autentyczna.
Jedna z najpopularniejszych przeglądarek internetowych - Google Chrome nie wyróżnia się na pierwszy rzut od wcześniej opisanych. Podobnie jak poprzednie przeglądarki, wyświetla się jedynie zielona kłódka. Sytuacja ma się jednak inaczej, jeśli chcemy poznać więcej szczegółów na temat certyfikatu. Za pomocą kilku kliknięć sprawdzimy dokładne informacje o certyfikacie.
Edge, czyli przeglądarka firmy Microsoft podobnie jak Google Chrome umożliwia sprawdzenie informacji o certyfikacie, lecz jak to miało miejsce z innymi popularnymi przeglądarkami nie prezentuje w sposób widoczny na pierwszy rzut oka certyfikatu SSL EV.
Wyżej opisane przeglądarki testowane były na systemie Google Android. Przeglądarka Safari w wersji mobilnej przeznaczona jest jedynie na system Apple - iOS. Przeglądarka ta, jako jedyna prezentuje, że dana strona jest zabezpieczona certyfikatem SSL EV. Obok kłódki znajduje się adres strony. Jeśli strona posiada certyfikat SSL EV - kłódka i adres strony są zielone. W przypadku zwykłego certyfikatu - adres strony i kłódka mają kolor czarny.
Jedynym minusem jest to, że w przeglądarce Safari nie możemy w żaden sposób sprawdzić szczegółów danego certyfikatu - m.in. dla kogo i przez kogo został wystawiony, kiedy został wystawiony i do kiedy jest ważny.
Powyższy test pokazuje, że sposób informowania użytkownika o stronach, które są bezpieczne można i należałoby poprawić. Cyberprzestępcy coraz częściej ataki phishing przygotowują pod użytkowników smartfonów, rozsyłając im linki do fałszywych stron w wiadomościach SMS.
Certyfikaty w przeglądarkach mobilnych na stronach phishing
Aby lepiej przedstawić problem, sprawdziliśmy jak powyżej opisane mobilne wersje przeglądarek internetowych będą wyświetlać zwykły certyfikat SSL na stronie phishing, podszywającej się pod PayPal.
Na komputerze różnica w prezentowaniu certyfikatów jest znacząca. Na oryginalnej stronie, która posiada certyfikat SSL EV jest widoczna nazwa podmiotu, dla którego został on wydany. Na stronie phishing, która wykorzystuje zwykły certyfikat wyświetlona jest jedynie kłódka.
Jak widzimy na powyższym przykładzie w rozpoznaniu oryginalnej strony pomaga nam rozszerzony certyfikat EV.
Inaczej sprawa ma się na przeglądarkach mobilnych. W każdej z opisywanych przeglądarek na systemie Android sposób prezentacji certyfikatu SSL i SSL EV jest identyczny. Użytkownik obok adresu widzi zieloną kłódkę zarówno na autentycznej stronie PayPal (SSL EV) jak i na fałszywej stronie podszywającej się pod PayPal (SSL).
Jedynie przeglądarka mobilna Safari w różny sposób pokazuje adres strony z certyfikatem SSL i SSL EV. Adres oryginalnej strony PayPal (z certyfikatem SSL EV) wyświetlany jest na zielono, natomiast adres fałszywej strony PayPal ( z certyfikatem SSL) - na czarno.
Poniżej możecie zobaczyć, w jaki sposób wyświetlane są certyfikaty na oryginalnej oraz fałszywej stronie PayPal w poszczególnych przeglądarkach mobilnych.
Podsumowanie
Odwiedzając na komputerze stronę, która posiada certyfikat SSL EV zawsze w pasku adresu obok kłódki zobaczymy również nazwę organizacji. W przypadku przeglądarek mobilnych, wyświetlona zostanie jedynie zielona kłódka. Co prawda, niektóre z nich umożliwiają nam sprawdzenie szczegółów o wystawionym certyfikacie, jednak tylko Safari informuje, iż odwiedzana przez nas strona posiada certyfikat SSL EV - adres strony staje się zielony. Na żadnej z testowanych przeglądarek mobilnych nie zobaczymy obok kłódki nazwy organizacji.
Wszystko to wykorzystują cyberprzestępcy i coraz częściej rozsyłają wiadomości SMS z linkami do stron phishing. W przeglądarce mobilnej strona taka często wizualnie niewiele różni się od oryginalnej oraz ma zieloną kłódkę.