\n<\/aside>\n<\/p>\n
Probablemente ya hayas o\u00eddo hablar de una vulnerabilidad llamada AutoSpill, que puede filtrar credenciales de cualquiera de los siete principales administradores de contrase\u00f1as para Android. La amenaza que representa es real, pero tambi\u00e9n es m\u00e1s limitada y m\u00e1s f\u00e1cil de contener de lo que ha reconocido gran parte de la cobertura hasta la fecha.<\/p>\n
Estas preguntas frecuentes profundizan en los muchos matices que hacen que AutoSpill sea dif\u00edcil de entender para la mayor\u00eda de las personas (incluido el suyo). Esta publicaci\u00f3n no habr\u00eda sido posible sin la invaluable ayuda de Alesandro Ortiz, un investigador que descubri\u00f3 una vulnerabilidad similar en Android en 2020.<\/p>\n
P: \u00bfQu\u00e9 es el AutoSpill?<\/b><\/p>\n
A:<\/b> Si bien gran parte de la cobertura de prensa sobre AutoSpill lo ha descrito como un ataque, es m\u00e1s \u00fatil verlo como un conjunto de comportamientos inseguros que pueden ocurrir dentro del sistema operativo Android cuando una credencial almacenada en un administrador de contrase\u00f1as se completa autom\u00e1ticamente en una aplicaci\u00f3n instalada en el dispositivo. Este comportamiento inseguro expone las credenciales que se completan autom\u00e1ticamente en la aplicaci\u00f3n de terceros, que puede ser pr\u00e1cticamente cualquier tipo de aplicaci\u00f3n siempre que acepte credenciales para iniciar sesi\u00f3n en una cuenta del usuario.<\/p>\n
Los administradores de contrase\u00f1as afectados de una forma u otra incluyen 1Password, LastPass, Enpass, Keepass2Android y Keeper. Otros administradores de contrase\u00f1as tambi\u00e9n pueden verse afectados ya que los investigadores que identificaron AutoSpill limitaron su consulta a s\u00f3lo siete t\u00edtulos. Tanto Google Smart Lock como Dashlane son vulnerables a un ataque similar que involucra inyecci\u00f3n de JavaScript y que se analiza m\u00e1s adelante).<\/p>\n
AutoSpill fue identificado por los investigadores Ankit Gangwal, Shubham Singh y Abhijeet Srivastava del Instituto Internacional de Tecnolog\u00eda de la Informaci\u00f3n en Hyderabad, India. Presentaron sus hallazgos la semana pasada en la conferencia de seguridad Black Hat en Londres.<\/p>\n
P: Si la aplicaci\u00f3n de terceros permite o requiere que un usuario inicie sesi\u00f3n en una cuenta, \u00bfpor qu\u00e9 es un problema que la contrase\u00f1a se complete autom\u00e1ticamente desde un administrador de contrase\u00f1as?<\/b><\/p>\n
A:<\/b> Es s\u00f3lo un problema en ciertos escenarios. Una es cuando la aplicaci\u00f3n de terceros permite a los usuarios iniciar sesi\u00f3n en una cuenta utilizando las credenciales de una cuenta diferente. Por ejemplo, cientos de aplicaciones y sitios utilizan un est\u00e1ndar conocido como OAuth para ofrecer a los usuarios la comodidad de iniciar sesi\u00f3n en sus cuentas utilizando las credenciales de sus cuentas en sitios como Google, Facebook o Apple. Un principal punto de venta de estos acuerdos, conocidos como delegaci\u00f3n de acceso, es que la aplicaci\u00f3n o servicio de terceros nunca ve las credenciales. AutoSpill tiene el potencial de violar esta garant\u00eda fundamental.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nOtra forma en que una aplicaci\u00f3n maliciosa podr\u00eda explotar AutoSpill ser\u00eda cargando contenido WebView desde un sitio de un banco u otro servicio en el que el usuario tenga una cuenta. Cuando la aplicaci\u00f3n maliciosa carga la p\u00e1gina de inicio de sesi\u00f3n del sitio confiable, se le pedir\u00e1 al usuario que seleccione las credenciales. Si el usuario aprueba el mensaje de autocompletar, las credenciales se completar\u00e1n no solo en la parte WebView de la aplicaci\u00f3n maliciosa sino tambi\u00e9n en la vista nativa de la aplicaci\u00f3n (m\u00e1s sobre la diferencia entre las propiedades de WebView y la vista nativa en un momento). Y dependiendo del administrador de contrase\u00f1as que se utilice, este flujo puede ocurrir sin previo aviso.<\/p>\n
Es dif\u00edcil imaginar un pretexto realista que la aplicaci\u00f3n maliciosa podr\u00eda usar para enga\u00f1ar a un usuario para que inicie sesi\u00f3n en una cuenta de terceros no administrada por el desarrollador de la aplicaci\u00f3n, y los investigadores de AutoSpill no ofrecieron ninguna. Una posibilidad podr\u00eda ser una versi\u00f3n maliciosa de una aplicaci\u00f3n que transfiere listas de reproducci\u00f3n de canciones de un servicio de m\u00fasica a otro. Las aplicaciones leg\u00edtimas, como FreeYourMusic o Soundiiz, brindan un servicio valioso al analizar una lista de reproducci\u00f3n almacenada en la cuenta de un servicio, como Apple Music, y luego crear una lista de reproducci\u00f3n id\u00e9ntica para una cuenta de un servicio diferente, como Tidal. Para funcionar como se desea, estas aplicaciones requieren las credenciales de ambas cuentas.<\/p>\n
Otra forma en que una aplicaci\u00f3n maliciosa podr\u00eda aprovechar AutoSpill es inyectando JavaScript en el contenido de WebView que copia las credenciales y las env\u00eda al atacante. Este tipo de ataques se conoc\u00edan anteriormente y funcionan en entornos que van mucho m\u00e1s all\u00e1 de los presentados por AutoSpill.<\/p>\n
Lo que no ha quedado claro en parte de la cobertura de AutoSpill es que representa una amenaza solo en estos escenarios limitados, e incluso entonces, expone solo una \u00fanica credencial de inicio de sesi\u00f3n, espec\u00edficamente la que se completa autom\u00e1ticamente. AutoSpill no representa una amenaza cuando un administrador de contrase\u00f1as completa autom\u00e1ticamente una contrase\u00f1a para una cuenta administrada por el desarrollador o servicio responsable de la aplicaci\u00f3n de terceros; por ejemplo, cuando se completan autom\u00e1ticamente las credenciales de Gmail en la aplicaci\u00f3n oficial de Gmail de Google, o las credenciales de Facebook en la aplicaci\u00f3n oficial de Facebook. Aplicaci\u00f3n Android.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Agrandar \/ Primer plano de la mano que sostiene el tel\u00e9fono inteligente y las aplicaciones de pantalla con el desbloqueo de tel\u00e9fonos m\u00f3viles. Concepto de seguridad tecnol\u00f3gica. im\u00e1genes falsas Probablemente…<\/p>\n","protected":false},"author":1,"featured_media":927560,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[12256,11227,111628,6746,39691,9349,2721,2250,8,110,4028,111,1435],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/927559"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=927559"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/927559\/revisions"}],"predecessor-version":[{"id":927561,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/927559\/revisions\/927561"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/927560"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=927559"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=927559"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=927559"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}