Obecnie, ludzie dążą do coraz większej miniaturyzacji urządzeń. Hitami sprzedaży stają się coraz nowsze modele telefonów komórkowych i netbooków, w których standardem stają się takie elementy jak GPS, aparat, akcelerometr czy też elektroniczny kompas. Trzeba przyznać, że niektóre rozwiązania związane z tym segmentem rynku są bardzo ciekawe, jak np. najnowszy system operacyjny dedykowany urządzeniom przenośnym, o nazwie Android. Z opinii ekspertów i analityków rynkowych jednoznacznie wynika, że to właśnie smartfony i zaawansowane urządzenia mobilne (takie jak np. przenośne konsole do gier nowej generacji) będą najbardziej chodliwym towarem w najbliższych latach. Oczywiście, wiąże się to z zaostrzeniem konkurencji. Rozpocznie się nie tylko batalia czysto sprzętowa, ale także wojna na froncie oprogramowania. Każdy z poważnych graczy na rynku (Google, Microsoft, Sony, Nokia…) będzie chciał uzyskać jak największe profity, co niesie ze sobą konieczność produkcji coraz lepszego sprzętu.

Pomimo rosnących możliwości urządzeń mobilnych, nadal nie oferują one takiej funkcjonalności jak tradycyjne komputery. Problemem jest tutaj nie tylko mniejsza moc obliczeniowa (chociaż ta sukcesywnie rośnie) czy też ograniczenia konstrukcyjne (mały wyświetlacz), ale także wady obecnie stosowanych technologii telekomunikacyjnych (niski transfer). Z uwagi na wymienione ograniczenia, często programiści decydują się na dostosowanie konkretnego oprogramowania do danej mobilnej platformy. Nie chodzi tu tylko o programy, które ukazały się na innych platformach (np. komputerach stacjonarnych), ale także o aplikacje webowe. Często w Internecie możemy spotkać się ze stronami przystosowanymi do ekranów urządzeń mobilnych. Są to albo zupełnie odrębne serwisy (takie jak np. onet lajt czy też szereg serwisów w domenie .mobi), albo witryny, które w momencie otrzymania request’u potrafią dostosować swój wygląd do ekranów o mniejszych przekątnych (przykładem mogą być tutaj wtyczki do WordPress). W ostatnim czasie postanowiłem przyjrzeć się tym serwisom i sprawdzić czy przy ich projektowaniu kładzie się nacisk na bezpieczeństwo czy też może wychodzi się z założenia, że strony te będą odwiedzane tylko przez użytkowników telefonów komórkowych pragnących sprawdzić najnowsze notowania giełdowe lub pogodę i nie warto inwestować w zabezpieczenia.

W „teście” brało udział kilkanaście serwisów – zarówno polskich jak i zagranicznych. Były to głównie mobilne wersje znanych portali społecznościowych, serwisów informacyjnych i firm. Na podstawie zebranych wyników mogę stwierdzić, że większość serwisów przystosowanych do urządzeń mobilnych jest niezabezpieczona i stwarza ogromne zagrożenie dla użytkowników. Co więcej, niektóre serwisy umożliwiały propagację błędów na swoje „pełnowymiarowe” odpowiedniki.

Zastanawiać może fakt występowania dużej ilości typowych i dobrze udokumentowanych błędów związanych z brakiem walidacji wprowadzanych danych – od Cross Site Scripting po wiele rodzajów błędów typu Injection. Czyżby autorzy mobi-portali wychodzili z założenia, że ich strony będą odwiedzane wyłącznie przy użyciu telefonów komórkowych i nikomu nie będzie chciało się mozolnie wprowadzać długich payloadów na niewygodnej klawiaturze? Dość dziwne podejście, zważywszy na to, że pełnowymiarowe odpowiedniki testowanych witryn, pomimo swojej nieporównywalnie większej złożoności, są raczej dobrze chronione.
Oprócz dość tradycyjnych podatności związanych z aplikacjami webowymi spotkałem się także z szeregiem błędów logicznych i nieodpowiednią obsługą sytuacji wyjątkowych. Istnieje widoczna różnica pomiędzy jakością stron w wersji „lajt-mobi-mobile” a normalnymi wersjami stron. Strony przeznaczone dla małych wyświetlaczy są w większości wypadków wykonane nieudolnie, bez jakiejkolwiek dbałości o bezpieczeństwo. Oczywiście, zdarzają się wyjątki, którym nie można nic zarzucić, ale nie poprawiają one ogólnego wrażenia.

Taki stan rzeczy związany jest zapewne z dość niskimi dochodami generowanymi przez mobilne wersje popularnych stron. Wraz ze wzrostem ilości unikalnych odwiedzin pochodzących od użytkowników telefonów ogólne bezpieczeństwo portali w wersji „mobile” będzie coraz lepsze. Niestety, na chwilę obecną lepiej unikać korzystania z tego typu rozwiązań.