Es posible diseñar un sitio web malicioso de forma que los clics de un usuario sean discretamente redirigidos para robar contraseñas y otros datos. Muchos desarrolladores web han añadido protecciones para bloquear esta táctica en los sitios web estándar, pero un equipo de investigadores de la Universidad de Stanford advierte que no hay suficientes defensas contra esta técnica en los sitios web para móviles, a los que se accede desde dispositivos como el iPhone.
Como resultado, un usuario de un teléfono de tipo smartphone podría pensar que está pulsando para comprobar una puntuación de fútbol, pero en realidad está tocando un botón de una página oculta para confirmar una transferencia de dinero.
Los usuarios de teléfonos móviles pueden ser especialmente vulnerables a este tipo de trucos. Por un lado, en los teléfonos de tipo smartphone, las partes de la interfaz de usuario que indican si una página es segura (que por lo general aparecen en la barra del navegador), frecuentemente desaparecen para maximizar el área de la pantalla. Debido a que el navegador por lo general ocupa toda la pantalla del teléfono, un atacante puede "dibujar lo que quiera en la pantalla (incluyendo sitios gemelos), y el usuario no puede saber qué es real y qué es falso", señala Elie Bursztein, estudiante de postdoctorado del Laboratorio de Seguridad de la Universidad de Stanford.
La realidad, es que los dispositivos móviles son objetivos cada vez más tentadores, porque la gente pasa cada vez más tiempo con ellos e intercambia datos importantes. “La gente compra cosas con su teléfono, usa Facebook y Twitter, y pronto realizarán transacciones bancarias con el teléfono,” afirma él.
Bursztein y los otros investigadores de Stanford presentaron sus resultados en el Taller sobre Tecnologías Ofensivas (WOOT, por sus siglas en inglés). Ellos llamaron al problema "tapjacking", una referencia a "clickjacking", el término usado cuando el mismo método de ataque se utiliza en un navegador de PC.
"Se trata de un montón de pequeños hacks pegados juntos para crear un gran problema", indica Kevin Mahaffey, director de tecnología de Lookout, una empresa de seguridad que se centra en los dispositivos móviles. "Y se necesitará un gran esfuerzo concertado para resolver el problema."