Créditos de imagen: Bryce Durbin/TechCrunch

Varios administradores de contraseñas móviles populares están filtrando inadvertidamente las credenciales de los usuarios debido a una vulnerabilidad en la funcionalidad de autocompletar de las aplicaciones de Android.

La vulnerabilidad, denominada «AutoSpill», puede exponer las credenciales guardadas de los usuarios en los administradores de contraseñas móviles al pasar por alto el mecanismo seguro de autocompletar de Android, según investigadores académicos del IIIT Hyderabad, quienes descubrieron la vulnerabilidad y presentaron su investigación en Black Hat Europe esta semana.

Los investigadores Ankit Gangwal, Shubham Singh y Abhijeet Srivastava descubrieron que cuando una aplicación de Android carga una página de inicio de sesión en WebView, los administradores de contraseñas pueden «confundirse» acerca de dónde deben dirigir la información de inicio de sesión del usuario y exponer sus credenciales a las aplicaciones subyacentes. campos nativos, dijeron. De hecho, WebView, el motor preinstalado de Google, permite a los desarrolladores mostrar contenido web en la aplicación sin iniciar un navegador web y se genera una consulta de autocompletar.

“Digamos que estás intentando iniciar sesión en tu aplicación de música favorita en tu dispositivo móvil y estás usando la opción ‘Iniciar sesión a través de Google o Facebook’. La aplicación de música abrirá una página de inicio de sesión de Google o Facebook a través de WebView”, dijo Gangwal a TechCrunch antes de su presentación de Black Hat el miércoles.

“Cuando se invoca el administrador de contraseñas para autocompletar las credenciales, lo ideal sería que se autocompletara solo en la página de Google o Facebook que se cargó. Pero descubrimos que la operación de autocompletar podría exponer accidentalmente las credenciales a la aplicación base.

Gangwal señala que las consecuencias de esta vulnerabilidad, especialmente en un escenario donde la aplicación base es maliciosa, son significativas. Añadió: “Incluso sin phishing, cualquier aplicación maliciosa que le solicite iniciar sesión a través de otro sitio, como Google o Facebook, puede acceder automáticamente a información confidencial. »

Los investigadores probaron la vulnerabilidad de AutoSpill utilizando algunos de los administradores de contraseñas más populares, incluidos 1Password, LastPass, Keeper y Enpass, en dispositivos Android nuevos y actualizados. Descubrieron que la mayoría de las aplicaciones eran vulnerables a fugas de credenciales, incluso si la inyección de JavaScript estaba deshabilitada. Cuando se habilitó la inyección de JavaScript, todos los administradores de contraseñas eran susceptibles a su vulnerabilidad AutoSpill.

Gangwal dice que alertó a Google y a los administradores de contraseñas afectados sobre la falla.

Pedro Canahuati, director de tecnología de 1Password, dijo a TechCrunch que la compañía ha identificado y está trabajando en una solución para AutoSpill. «Si bien el parche fortalece aún más nuestra postura de seguridad, la función de autocompletar de 1Password fue diseñada para requerir que el usuario tome medidas explícitas», dijo Canahuati. «La actualización proporcionará protección adicional al evitar que los campos nativos se completen con credenciales destinadas únicamente a WebView de Android».

El CTO de Keeper, Craig Lurey, dijo en comentarios compartidos con TechCrunch que la compañía había sido informada de una vulnerabilidad potencial, pero no dijo si había realizado algún parche. “Solicitamos un video al investigador para demostrar el problema reportado. Según nuestro análisis, determinamos que el investigador primero instaló una aplicación maliciosa y luego aceptó un mensaje de Keeper para forzar la asociación de la aplicación maliciosa con un registro de contraseña de Keeper”, dijo Lurey.

Keeper dijo que «establece medidas de seguridad para proteger a los usuarios contra el autocompletado de credenciales en una aplicación o sitio que no es de confianza y que no ha sido autorizado explícitamente por el usuario», y ha recomendado que el investigador envíe su informe a Google «como es específicamente relacionado con el sistema Android.» plataforma.»

Google y Enpass no respondieron a las preguntas de TechCrunch. Alex Cox, director del equipo de inteligencia, mitigación y escalada de amenazas de LastPass, dijo a TechCrunch que antes de ser informado de los hallazgos de los investigadores, LastPass ya había implementado la mitigación a través de una ventana emergente de advertencia integrada en el producto cuando la aplicación detectó un intento de explotación. la hazaña. «Después de analizar los resultados, agregamos texto más informativo a la ventana emergente», dijo Cox.

Gangwal le dice a TechCrunch que los investigadores están explorando actualmente la posibilidad de que un atacante pueda extraer las credenciales de la aplicación a WebView. El equipo también está investigando si la vulnerabilidad se puede replicar en iOS.

Google es despliegue una característica bastante importante de diciembre que agrega notablemente Video Boost al Pixel 8 Pro y otras funciones de la cámara, mientras que Watch Unlock finalmente está aquí para Pixel Watch.

Cámara de píxeles

Impulso de vídeo combina la cámara Pixel 8 Pro y el chip Tensor G3 con las capacidades de procesamiento en la nube de Google. Después de habilitar Video Boost en la aplicación Cámara, grabe como lo haría normalmente para obtener un clip que pueda ver/compartir inmediatamente. Al mismo tiempo, Google captura un formato especial Video Boost, que Google llama coloquialmente RAW-ish, que será enviado a sus servidores. La descarga, que espera la conexión Wi-Fi, y el procesamiento lleva algún tiempo. Recibirás una notificación de Google Fotos cuando termine, mientras que esta segunda grabación se eliminará para ahorrar espacio en tu dispositivo.

Se aplican HDR+ y otros modelos de fotografía computacional para ajustar el color, la iluminación, la estabilización y el grano. Esto da como resultado todo, desde colores vibrantes hasta un rango dinámico completo y un tono de piel realista.

Video Boost también permite Vídeo de vista nocturna lo que le permite ver detalles y colores ricos al grabar en condiciones de poca luz.

De la misma forma, Vista nocturna en Pixel 8 y 8 Pro ahora te permite «grabar imágenes vibrantes y detalladas» lapso de tiempo Vídeos con poca luz. Puede grabar el cielo cambiante del atardecer cuando su teléfono está fijo (en un trípode).

Continuando con el frente de la fotografía, la herramienta Portrait Light de Google Photos obtiene un nuevo «Luz de equilibrio«opción que elimina las sombras marcadas gracias a un nuevo modelo de IA, mientras Eliminar el desenfoque de las fotos ahora hace un mejor trabajo afilando perros y gatos.

En el pliegue de píxeles, Vista previa de pantalla dual le permite proyectar lo que ve en la pantalla interior en la pantalla de portada.

A «para hacer las tareas del hogar«La función le permite eliminar manchas, borrones e incluso arrugas de documentos escaneados directamente desde la aplicación Cámara. Esto sigue al rediseño de Google Drive de su escáner de recibos.

Finalmente, puedes usar tu Pixel como cámara web para computadora portátil/escritorio al conectar los dos mediante cable. Abra la notificación de Preferencias de USB y seleccione «Usar USB para cámara web». Esto está disponible en Pixel 6 y posteriores, así como en Fold.

Reloj de píxeles

Anunciado por primera vez en CES 2022, Google finalmente se está implementando Desbloquear reloj entre dispositivos Pixel. Cuando su reloj esté usado y desbloqueado, el teléfono cercano emparejado no requerirá un código de acceso. Recibirás el mensaje correspondiente «Desbloqueado por tu reloj» en la parte superior de la pantalla. Si este teléfono se desbloquea accidentalmente, una notificación en el teléfono le permitirá “bloquearlo” rápidamente.

Para configurar esto, abra la aplicación complementaria > Preferencias del reloj > Seguridad. Google advierte que esto reduce la duración de la batería del reloj y es menos seguro que el PIN/contraseña.

Google formaliza la disponibilidad de seis nuevas caras y estilos de complicaciones (arcos y bombillas rediseñadas) en el Reloj Píxel Originalasí como la sincronización No molestar y el modo Hora de dormir.

Si su Pixel Watch o Watch 2 está emparejado con un teléfono Google con tecnología Tensor, Pantalla de llamada automática mostrará una transcripción de la conversación en su muñeca. Le permite omitir u obtener más detalles antes de responder.

Y más…

La experiencia de llamadas también mejora con respuestas emergentes de filtrado de llamadas que le permiten “reaccionar fácilmente de manera adecuada a la situación”. Esto puede incluir «Confirmar» o «Cancelar cita» para permitir que Google responda inmediatamente a la persona que llama en su nombre.

En la misma aplicación, Dirige mi llamada Y Espera por mi se están expandiendo para admitir números comerciales sin prefijo gratuito, así como en el Reino Unido.

EL Tableta de píxeles se convierte en Borrar llamada durante las videoconferencias para reducir el ruido de fondo y mejorar su voz. La pantalla más grande de Google también agrega soporte para audio espacial a través de los parlantes de la tableta y los Pixel Buds Pro.

Otras características incluyen Para resumir funcionalidad impulsada por Gemini Nano, con Grabadora también agrega soporte de transcripción para 28 nuevos idiomas y en el dispositivo Respuestas inteligentes de Gboard desde WhatsApp.

Modo de reparación “mantendrá sus datos personales protegidos y preservados” mientras esté en la tienda de servicios, mientras el Administrador de contraseñas de Google hará ping a sus cuentas que admitan claves de acceso para una fácil actualización.

Finalmente, el Reloj de Google la aplicación ahora se muestra reporte del clima para sus ciudades registradas. Las temperaturas actuales y altas/bajas también aparecen en el widget de la pantalla de inicio de Mundo. También puede obtener un pronóstico de cuándo se activarán las alarmas.

La función de lanzamiento de diciembre se implementará en dispositivos Pixel a partir de hoy.

Beeper ha ofrecido una plataforma de mensajería unificada durante varios años, permitiendo a los usuarios abrir una única aplicación para comunicarse con sus contactos a través de SMS, Google Chat, Facebook Messenger, Slack, Discord, WhatsApp y quizás lo más importante, iMessage.

Sin embargo, hasta esta semana, los usuarios de Android que querían usar Beeper para enviar mensajes de «burbuja azul» a los usuarios de iMessage tenían sus mensajes enrutados a través de un dispositivo Mac o iOS. Ahora Beeper tiene lanzó una nueva aplicación llamado Mini buscapersonas que administra todo en el dispositivo, no se requiere un puente de iPhone o Mac. El Beeper Mini es disponible ahora en Google Play Storey ofrece una prueba gratuita de 7 días. Después de eso, seguir usándolo cuesta $2 por mes.

En pocas palabras, Beeper Mini permite a los usuarios de Android interactuar con iMessage al brindar algunas características clave:

• Tus mensajes aparecerán como burbujas azules.
• En lugar de su dirección de correo electrónico, los usuarios de iMessage ahora mostrarán su número de teléfono de Android.
• Sus mensajes no se transmiten a través de un servidor Mac remoto antes de enviarlos a iMessage.
• No necesita una ID de Apple, por lo que no necesita darle a Beeper sus datos de inicio de sesión de Apple (si los tiene).
• Todos los mensajes están cifrados de extremo a extremo, por lo que ni Apple ni Beeper pueden descifrarlos y las claves de cifrado permanecen en su dispositivo.
• Las funciones compatibles de iMessage incluyen:
  • Chats grupales
  • Compartir imágenes, vídeos y mensajes de voz de alta resolución
  • Leer recibos e indicadores de pulsaciones de teclas.
  • Responder temas
  • Pegatinas y GIF

Entonces, ¿cómo logra Beeper Mini todo esto en una aplicación independiente para Android, cuando anteriormente la empresa tenía que depender de una Mac en la nube?

La empresaexplica el método que utiliza en una publicación de blogpero en una palabra, Beeper dice un investigador de seguridad mediante ingeniería inversa «Protocolo y cifrado de iMessage», de modo que «todos los mensajes son enviados y recibidos por la aplicación Beeper Mini para Android directamente a los servidores de Apple» y «las claves de cifrado necesarias para cifrar estos mensajes nunca salen de su teléfono».

Por cierto, este investigador de seguridad es un estudiante de secundaria llamado jjtech, que fue contratado por Beeper después de mostrar su código a la empresa. A script Python de prueba de concepto También está disponible en Github si desea ejecutarlo para enviar mensajes a iMessage desde la PC.

En general, esto parece un gran paso adelante para cerrar la brecha entre Android e iMessage. Pero debido a que Beeper Mini no utiliza el protocolo Matrix utilizado por la aplicación Beeper original y está creado a partir de un código completamente nuevo, actualmente no admite los 15 servicios de chat que ofrece la aplicación original.

Actualmente, Beeper Mini es solamente capaz de enviar mensajes hacia y desde iMessage y otros usuarios de Beeper Mini. Pero hoja de ruta del producto incluye agregar soporte para SMS, WhatsApp y Signal en el corto plazo, así como soporte para Matrix y otras 10 redes de chat no cifradas en el futuro.

Mientras tanto, se cambió el nombre de la aplicación Beeper original (que requería un servidor Mac) Nube de pitidosy puede unirse a una lista de espera si desea tener la oportunidad de utilizar este servicio.

Beeper Mini no tiene lista de espera. Está disponible para cualquiera que quiera registrarse para la prueba gratuita y/o pagar $2 por mes para enviar burbujas de chat azules desde un teléfono Android.

En última instancia, Beeper Cloud y Beeper Mini se fusionarán, una vez que todas las funciones se hayan migrado a la nueva aplicación.

¿Se pregunta si Apple demandará a Beeper y cuándo? Ciertamente es una posibilidad, pero el fundador de Beeper, Eric Migicovsky, señala que la compañía tiene cuidado de evitar el uso de marcas comerciales de Apple y que existen protecciones en las leyes estadounidenses para sistemas de ingeniería inversa para la interoperabilidad.

También es posible que Apple cambie la forma en que funciona iMessage para evitar que funcionen aplicaciones de ingeniería inversa como Beeper Mini. Pero esto probablemente llevaría mucho tiempo y podría ser una medida arriesgada para Apple, ya que también podría interrumpir la compatibilidad con iMessage en dispositivos Apple más antiguos.

Beeper no es la primera empresa que intenta ofrecer un servicio de Android a iMessage. Pero es uno de los primeros en prometer una forma de hacer esto sin depender de un servidor remoto, al tiempo que garantiza que sus mensajes permanezcan cifrados de un extremo a otro (algo que, lamentablemente, Nothing Chats y Sunbird no lograron hacer).