Connect with us

Ciencia y tecnología

Su administrador de contraseñas móvil puede estar exponiendo sus credenciales

Published

on

Su administrador de contraseñas móvil puede estar exponiendo sus credenciales

Créditos de imagen: Bryce Durbin/TechCrunch

Varios administradores de contraseñas móviles populares están filtrando inadvertidamente las credenciales de los usuarios debido a una vulnerabilidad en la funcionalidad de autocompletar de las aplicaciones de Android.

La vulnerabilidad, denominada «AutoSpill», puede exponer las credenciales guardadas de los usuarios en los administradores de contraseñas móviles al pasar por alto el mecanismo seguro de autocompletar de Android, según investigadores académicos del IIIT Hyderabad, quienes descubrieron la vulnerabilidad y presentaron su investigación en Black Hat Europe esta semana.

Los investigadores Ankit Gangwal, Shubham Singh y Abhijeet Srivastava descubrieron que cuando una aplicación de Android carga una página de inicio de sesión en WebView, los administradores de contraseñas pueden «confundirse» acerca de dónde deben dirigir la información de inicio de sesión del usuario y exponer sus credenciales a las aplicaciones subyacentes. campos nativos, dijeron. De hecho, WebView, el motor preinstalado de Google, permite a los desarrolladores mostrar contenido web en la aplicación sin iniciar un navegador web y se genera una consulta de autocompletar.

“Digamos que estás intentando iniciar sesión en tu aplicación de música favorita en tu dispositivo móvil y estás usando la opción ‘Iniciar sesión a través de Google o Facebook’. La aplicación de música abrirá una página de inicio de sesión de Google o Facebook a través de WebView”, dijo Gangwal a TechCrunch antes de su presentación de Black Hat el miércoles.

“Cuando se invoca el administrador de contraseñas para autocompletar las credenciales, lo ideal sería que se autocompletara solo en la página de Google o Facebook que se cargó. Pero descubrimos que la operación de autocompletar podría exponer accidentalmente las credenciales a la aplicación base.

READ  Su Chromebook finalmente le permitirá ordenar sus aplicaciones en el lanzador

Gangwal señala que las consecuencias de esta vulnerabilidad, especialmente en un escenario donde la aplicación base es maliciosa, son significativas. Añadió: “Incluso sin phishing, cualquier aplicación maliciosa que le solicite iniciar sesión a través de otro sitio, como Google o Facebook, puede acceder automáticamente a información confidencial. »

Los investigadores probaron la vulnerabilidad de AutoSpill utilizando algunos de los administradores de contraseñas más populares, incluidos 1Password, LastPass, Keeper y Enpass, en dispositivos Android nuevos y actualizados. Descubrieron que la mayoría de las aplicaciones eran vulnerables a fugas de credenciales, incluso si la inyección de JavaScript estaba deshabilitada. Cuando se habilitó la inyección de JavaScript, todos los administradores de contraseñas eran susceptibles a su vulnerabilidad AutoSpill.

Gangwal dice que alertó a Google y a los administradores de contraseñas afectados sobre la falla.

Pedro Canahuati, director de tecnología de 1Password, dijo a TechCrunch que la compañía ha identificado y está trabajando en una solución para AutoSpill. «Si bien el parche fortalece aún más nuestra postura de seguridad, la función de autocompletar de 1Password fue diseñada para requerir que el usuario tome medidas explícitas», dijo Canahuati. «La actualización proporcionará protección adicional al evitar que los campos nativos se completen con credenciales destinadas únicamente a WebView de Android».

El CTO de Keeper, Craig Lurey, dijo en comentarios compartidos con TechCrunch que la compañía había sido informada de una vulnerabilidad potencial, pero no dijo si había realizado algún parche. “Solicitamos un video al investigador para demostrar el problema reportado. Según nuestro análisis, determinamos que el investigador primero instaló una aplicación maliciosa y luego aceptó un mensaje de Keeper para forzar la asociación de la aplicación maliciosa con un registro de contraseña de Keeper”, dijo Lurey.

READ  Cómo crear una firma para documentos PDF en iPhone

Keeper dijo que «establece medidas de seguridad para proteger a los usuarios contra el autocompletado de credenciales en una aplicación o sitio que no es de confianza y que no ha sido autorizado explícitamente por el usuario», y ha recomendado que el investigador envíe su informe a Google «como es específicamente relacionado con el sistema Android.» plataforma.»

Google y Enpass no respondieron a las preguntas de TechCrunch. Alex Cox, director del equipo de inteligencia, mitigación y escalada de amenazas de LastPass, dijo a TechCrunch que antes de ser informado de los hallazgos de los investigadores, LastPass ya había implementado la mitigación a través de una ventana emergente de advertencia integrada en el producto cuando la aplicación detectó un intento de explotación. la hazaña. «Después de analizar los resultados, agregamos texto más informativo a la ventana emergente», dijo Cox.

Gangwal le dice a TechCrunch que los investigadores están explorando actualmente la posibilidad de que un atacante pueda extraer las credenciales de la aplicación a WebView. El equipo también está investigando si la vulnerabilidad se puede replicar en iOS.

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España. Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ciencia y tecnología

Google intentó trasladar Meta a su sistema operativo XR

Published

on

Google intentó trasladar Meta a su sistema operativo XR

Según se informa, Google le pidió a Meta que se asociara y «contribuyera» a su próxima plataforma XR, pero Meta dijo que no.

La denuncia proviene de un informe » de The Information Today, citando a «una persona involucrada en las conversaciones».

En mensajes en discusionesAndrew Bosworth, CTO de Meta, dijo: «Se nota que obtuvieron esta historia de Google» e hizo las siguientes declaraciones:

“Después de años de no centrarnos en la realidad virtual ni hacer nada para respaldar nuestro trabajo en el espacio, Google presentó AndroidXR a sus socios y sugirió, increíblemente, que NOSOTROS somos los que amenazamos con fragmentar el ecosistema cuando son ellos los que planean hacerlo exactamente. eso.

Estaremos encantados de colaborar con ellos. ¡Podrían traer sus aplicaciones a Quest hoy! Podrían traer Play Store (con su economía actual para aplicaciones 2D) e inmediatamente agregar valor a todos sus desarrolladores, que es exactamente el tipo de ecosistema de aplicaciones abiertas que queremos ver. Nos encantaría tenerlos. Esto sería una victoria para sus desarrolladores y para todos los consumidores y seguiremos presionando para lograrlo.

En cambio, quieren que aceptemos términos restrictivos que nos obliguen a renunciar a nuestra libertad de innovar y crear mejores experiencias para las personas y los desarrolladores. Hemos visto que esto suceda antes y creemos que podemos hacerlo mejor esta vez.


El sistema operativo Meta Quest es una bifurcación del kernel de código abierto de Android (conocido como AOSP), una estrategia similar al sistema operativo Fire de Amazon para sus tabletas Fire. Meta ha estado trabajando en ello durante al menos siete años, desde que llegó por primera vez en Oculus Go de 2018.

READ  Núcleo blindado 6: ataca el complejo de presas

El mismo año, Lenovo lanzó un auricular independiente que ejecutaba Daydream, el sistema operativo de realidad virtual de Google que incluía sus servicios Google Play, Play Store, Google Apps y tecnología central de realidad virtual, además de AOSP. Pero menos de dos años después, a finales de 2019, Google abandonó la plataforma Daydream y ningún otro auricular independiente la ha utilizado jamás.

El visor Daydream VR independiente de Google + Lenovo, Mirage Solo, ya está a la venta por $ 399

Oculus Go no es el único visor de realidad virtual independiente que se lanza esta semana: el Mirage Solo de Lenovo también acaba de salir a la venta. Disponible por $399, Solo es el primer dispositivo de realidad virtual independiente que se ejecuta en el ecosistema de realidad virtual móvil de Google, Daydream. Gestiona todos los juegos y experiencias que

Avancemos hasta principios de 2023 y Samsung ha anunciado que está trabajando en hardware XR, con Google a cargo del software. En junio, Business Insider informó que el sistema operativo se llamaría Android XR, una nueva variante del Android de Google (AOSP + adiciones de código cerrado de Google) similar a Android TV.

Si bien Samsung será el primer fabricante de hardware en utilizar Android, informan que otras empresas lo habrían aceptado.

Se espera que los auriculares de Samsung con tecnología de Google se lancen a finales de 2024

Se espera que los auriculares XR de Samsung, impulsados ​​por Google, se lancen, en cantidades muy limitadas, a finales de 2024. Detalles aquí:

Mientras tanto, Meta y LG confirmaron el miércoles que habían formado una «colaboración estratégica» XR que incluía «el desarrollo de dispositivos XR de próxima generación». Esto sigue a varios informes de medios de Corea del Sur de que LG fabricará futuros auriculares Quest Pro, ejecutando la plataforma Meta Quest, y el primer dispositivo llegará en 2025 por alrededor de $ 2,000.

READ  Cómo crear una firma para documentos PDF en iPhone

Las estrategias XR de Google y Meta podrían resultar notablemente similares, y ambas compañías compiten para lograr que los fabricantes de hardware adopten su plataforma.

Manzana
Visión
Meta
Búsqueda
Google
Android XR
Primera fiesta
Material
✖️
Tercero
Material
✖️ LG Samsung
Existente
Ecosistema
La integración

Las fortalezas de Meta residen en su vasta biblioteca existente de contenido totalmente inmersivo, la adquisición de ocho estudios experimentados de juegos de realidad virtual y la venta de su hardware patentado al costo o incluso con pérdidas. Pero su debilidad es que no cuenta con una plataforma informática de pantalla plana existente y, por lo tanto, no puede lograr la integración de múltiples dispositivos o introducir fácilmente una biblioteca de aplicaciones 2D.

Google, por otro lado, puede llevar su Play Store a Android XR, brindando millones de aplicaciones 2D e integrando profundamente su teléfono Android existente, contraseñas y marcadores de Chrome, y datos de sus aplicaciones de Google como Fotos.

El CTO de Meta, Andrew Bosworth, dijo anteriormente que le pidió a Google que integrara Play Store con Meta Quest, pero Google dijo que no. En un artículo publicado hoy en X, Bosworth dijo que Google podría incluso conservar todos sus ingresos reducidos para aplicaciones 2D.

Meta CTO: le pedimos a Google que integrara Play Store con Quest

El CTO de Meta dijo que Google rechazó una solicitud para integrar su Play Store con Quest.

Por un lado, la unión de Google y Meta para crear una plataforma XR podría ser una fuerza Leviatán contra los auriculares Vision de Apple, reuniendo la biblioteca de contenido inmersivo de Quest con la integración del ecosistema telefónico y las aplicaciones de Android de Google.

READ  Intel Demos Samsung PM1743 PCIe Gen 5.0 SSD en la plataforma Alder Lake, logra casi 14 Gb / s de ancho de banda

Pero, por otro lado, no está claro cómo funcionarían en la práctica los detalles comerciales de dicha asociación, ni cómo las empresas tomarían decisiones sobre opciones básicas de diseño e ingeniería de las que dependen en gran medida. El informe de Information afirma que la oferta de Google incluía a Meta «contribuyendo» al desarrollo de Android XR, lo que sugiere que Google tendría la última palabra en cuestiones fundamentales del sistema operativo.

Es comprensible que Meta no quiera depender de Google, tanto por motivos comerciales como por el historial de Google en XR y plataformas en general. Daydream en auriculares se suspendió después de menos de dos años y la plataforma de juegos Stadia después de tres años. Se han sumado a una larga lista de plataformas y servicios en El cementerio de Google.

Continue Reading

Ciencia y tecnología

Los resúmenes de mensajes de Android Auto AI ya están disponibles

Published

on

Los resúmenes de mensajes de Android Auto AI ya están disponibles

Con el lanzamiento de Android Auto 11.4, Google pone sus resúmenes de mensajes de IA a disposición de todos los usuarios. Así es como funciona la función.

Google anunció por primera vez los resúmenes de mensajes de IA a principios de este año como una forma de comprender rápidamente mensajes largos sin que el Asistente de Google los lea todo en voz alta. La función apareció en la configuración de Android Auto poco después, pero en realidad no estaba disponible.

Pero hoy finalmente parece estar ampliamente disponible.

Cuando inicie Android Auto por primera vez después de instalar la versión 11.4, Google enviará una notificación a su teléfono explicando que los resúmenes de mensajes ya están disponibles. No tienes que hacer nada con él, pero también ofrece un acceso directo a la configuración para administrar la función.

Como se detalló recientemente, los resúmenes de publicaciones de IA solo funcionan en publicaciones más largas, siendo la barrera las 40 palabras. Para mensajes más cortos, el Asistente de Google seguirá leyendo el contenido en voz alta en su totalidad.

La primera vez que actives un resumen de mensaje de IA, Google te notificará que está generando un resumen y que, teniendo esto en cuenta, el contenido puede ser ligeramente incorrecto. Mientras se reproduce este mensaje, aparece una notificación silenciosa en su teléfono para indicar que se está generando el resumen. Cuando se leyó en voz alta, nuestro mensaje de prueba de más de 100 palabras se redujo a unas 15 palabras. Gran parte de los detalles se eliminaron en el proceso, pero se conservó el significado general. Obviamente, sus resultados pueden variar según el escenario.

READ  WhatsApp para iOS prepara la función de mensajes que desaparecen y burbujas de chat rediseñadas

Cuando se reproduce un resumen de IA, prácticamente no hay diferencia en la interfaz de usuario de respuesta en pantalla, que ahora ocupa toda la pantalla luego de un rediseño reciente.

Una vez leído el resumen, aparecerá una notificación en Android Auto solicitando comentarios sobre el resumen.

Si no desea resúmenes de IA, la función se puede desactivar fácilmente a través de la configuración de Android Auto, ya sea en la pantalla del automóvil o en su teléfono.

La función todavía se llama «Resúmenes de mensajes AI» tanto en el teléfono como en la configuración de Android Auto en el automóvil, pero también hay una nueva opción para «Notificaciones con Asistente», pero no está claro exactamente qué hace en este momento. .

Obtenga más información sobre Android Auto:

Sigue a Ben: Gorjeo/X, TemasY Instagram

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Continue Reading

Ciencia y tecnología

'Satellite SOS' llegará a Google Pixel, esto es lo que hará

Published

on

'Satellite SOS' llegará a Google Pixel, esto es lo que hará

La conectividad satelital para teléfonos inteligentes ha resultó valioso en el iPhone de Apple, pero es una característica que ha tenido problemas para llegar a los dispositivos Android. Esta semana, sin embargo, comenzó a aparecer una nueva función «Satellite SOS» en los teléfonos Google Pixel y estamos vislumbrando de lo que será capaz de hacer.

Si hoy te sumerges en Configuración > Seguridad y Emergencia en un teléfono Pixel, lo más probable es que veas aparecer «Satélite SOS» entre Emergencia SOS y Detección de accidentes automovilísticos. Google, aparentemente por error, implementó ampliamente la configuración en prácticamente todos los dispositivos Pixel a través de una actualización reciente de Servicios de Conectividad Adaptativa.

Pero en este momento la función no hace nada. Al tocar «Satélite SOS» en un dispositivo Google Pixel no se abre ningún menú, pero pronto lo hará.

Gracias a un Pixel rooteado pudimos acceder al menú que Google está preparando para esta función. La página de Satellite SOS explica:

Con tu Pixel, puedes enviar mensajes a servicios de emergencia y compartir tu ubicación cuando no puedas conectarte a una red móvil o Wi-Fi.

La página explica que puede llamar o enviar mensajes de texto a los servicios de emergencia, compartir su ubicación usando Google Maps y responder preguntas sobre su emergencia. No está claro si podrá comunicarse con alguien fuera de los servicios de emergencia, pero Google también dice que compartirá su nombre y número de teléfono de su cuenta de Google, así como los detalles de contacto de hasta tres contactos de emergencia.

Google reitera los detalles compartidos al final de la página:

Cuando se conecta a los servicios de emergencia satelitales, su nombre, dirección de correo electrónico, número de teléfono, ubicación, información del dispositivo (IMEI, idioma, modelo, nivel de batería) y la información del dispositivo de los servicios de emergencia se comparten con los servicios de emergencia y los proveedores de servicios satelitales.

La página enlaza a una página de soporte de Google que muestra qué países admite Satellite SOS, pero lamentablemente la página aún no está disponible. También hay un enlace a un plan de seguro de búsqueda y rescate de Garmin. En particular, Google Messages ya ha mostrado signos de utilizar los servicios de Garmin para la conectividad satelital.

READ  Núcleo blindado 6: ataca el complejo de presas

Hay demostraciones de conectividad satelital, pero ni «Probar una demostración» ni «Probar el modo real» funcionan actualmente.

No está claro cuándo Google tiene la intención de implementar esta función, pero el hecho de que el acceso directo aparezca ampliamente en los teléfonos Pixel hoy en día, combinado con lo desarrollado que está este menú de configuración detrás de escena, sugiere que no es el caso. también a lo lejos.

Obtenga más información sobre Google Píxel:

Sigue a Ben: Gorjeo/X, TemasY Instagram

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Continue Reading

Trending