Исследователи из Калифорнийского университета в Беркли недавно проанализировали 100 приложений для Android и iPhone, а затем придумали 15 техник, которые могли бы быть использованы мошенниками для написания программ, крадущих логины и пароли жертв от таких сайтов, как Facebook и Twitter. Исследование обращает внимание на то, что пользователи всё чаще используют свои мобильные телефоны для того, чтобы выйти в интернет, и при этом привыкают вводить свои пароли и логины в мобильных приложениях.

Как только некоторому мобильному приложению требуется доступ к другому мобильному приложению - например, если Groupon для iPhone хочет отправить что-то в Twitter - программа обычно выводит окно, призывающее пользователя ввести логин и пароль на сайте этого второго приложения. Однако убедиться в том, что владелец телефона отправляет свои логин и пароль действительно по назначению, как правило, невозможно.

Браузеры на компьютерах имеют панель адреса вместе с другими особенностями, помогающими пользователям определить степень доверия к посещаемому сайту. В мире мобильных устройств всё иначе. В своих тестах исследователи продемонстрировали, что, благодаря маленьким экранам, у пользователей мобильных телефонов почти нет возможности отличить настоящий веб-сайт от поддельного. Исследователи из Беркли также сообщили, что преступникам будет достаточно легко создать приложение, которое бы шпионило за тем, как пользователи набирают пароли.

Дэвид Вагнер, профессор из Калифорнийского университета, считает, что до тех пор, пока не будут созданы новые механизмы взаимодействия между мобильными приложениями, обозначенную проблему будет очень сложно решить.

Одним из тех, кто пытается найти решение этой проблемы, является Маркус Якобссон, главный научный работник, занимающийся исследованиями в области информационной безопасности потребителей в компании PayPal. Он разрабатывает приложение Spoof Killer, которое должно следить за приложениями и веб-сайтами, требующими ввода логина и пароля, и блокировать те из них, которые являются мошенническими.

Якобссон полагает, что в будущем году будет наблюдаться резкое увеличение количества мошеннического ПО для мобильных телефонов, так как они становятся наиболее популярным средством для доступа в интернет.

По словам руководителя Антифишинговой рабочей группы, Дэйва Джеванса, атак, нацеленных именно на пользователей мобильных телефонов, сейчас немного. Однако Джеванс считает, что фишинговое электронное письмо, оказавшись в почтовом ящике мобильного телефона, может сработать более эффективно. "Антифишинговые технологии в мобильных телефонах развиты намного слабее, чем на платформе Windows", - пояснил он. При этом Джеванс сказал, что вредоносные программы для мобильных устройств его беспокоят намного больше, чем фишинговые письма.

Производители телефонов постоянно проверяют свои магазины приложений для того, чтобы препятствовать появлению в них вредоносного ПО. Однако ничто не мешает преступникам замаскировать своё приложение под благонадёжное, а затем в один прекрасный день заставить его заниматься кражей паролей.