Connect with us

Ciencia y tecnología

Su administrador de contraseñas móvil puede estar exponiendo sus credenciales

Published

8 meses ago

on

Su administrador de contraseñas móvil puede estar exponiendo sus credenciales

Créditos de imagen: Bryce Durbin/TechCrunch

Varios administradores de contraseñas móviles populares están filtrando inadvertidamente las credenciales de los usuarios debido a una vulnerabilidad en la funcionalidad de autocompletar de las aplicaciones de Android.

La vulnerabilidad, denominada «AutoSpill», puede exponer las credenciales guardadas de los usuarios en los administradores de contraseñas móviles al pasar por alto el mecanismo seguro de autocompletar de Android, según investigadores académicos del IIIT Hyderabad, quienes descubrieron la vulnerabilidad y presentaron su investigación en Black Hat Europe esta semana.

Los investigadores Ankit Gangwal, Shubham Singh y Abhijeet Srivastava descubrieron que cuando una aplicación de Android carga una página de inicio de sesión en WebView, los administradores de contraseñas pueden «confundirse» acerca de dónde deben dirigir la información de inicio de sesión del usuario y exponer sus credenciales a las aplicaciones subyacentes. campos nativos, dijeron. De hecho, WebView, el motor preinstalado de Google, permite a los desarrolladores mostrar contenido web en la aplicación sin iniciar un navegador web y se genera una consulta de autocompletar.

“Digamos que estás intentando iniciar sesión en tu aplicación de música favorita en tu dispositivo móvil y estás usando la opción ‘Iniciar sesión a través de Google o Facebook’. La aplicación de música abrirá una página de inicio de sesión de Google o Facebook a través de WebView”, dijo Gangwal a TechCrunch antes de su presentación de Black Hat el miércoles.

“Cuando se invoca el administrador de contraseñas para autocompletar las credenciales, lo ideal sería que se autocompletara solo en la página de Google o Facebook que se cargó. Pero descubrimos que la operación de autocompletar podría exponer accidentalmente las credenciales a la aplicación base.

READ  Se dice que llegará la conectividad satelital del Galaxy S23

Gangwal señala que las consecuencias de esta vulnerabilidad, especialmente en un escenario donde la aplicación base es maliciosa, son significativas. Añadió: “Incluso sin phishing, cualquier aplicación maliciosa que le solicite iniciar sesión a través de otro sitio, como Google o Facebook, puede acceder automáticamente a información confidencial. »

Los investigadores probaron la vulnerabilidad de AutoSpill utilizando algunos de los administradores de contraseñas más populares, incluidos 1Password, LastPass, Keeper y Enpass, en dispositivos Android nuevos y actualizados. Descubrieron que la mayoría de las aplicaciones eran vulnerables a fugas de credenciales, incluso si la inyección de JavaScript estaba deshabilitada. Cuando se habilitó la inyección de JavaScript, todos los administradores de contraseñas eran susceptibles a su vulnerabilidad AutoSpill.

Gangwal dice que alertó a Google y a los administradores de contraseñas afectados sobre la falla.

Pedro Canahuati, director de tecnología de 1Password, dijo a TechCrunch que la compañía ha identificado y está trabajando en una solución para AutoSpill. «Si bien el parche fortalece aún más nuestra postura de seguridad, la función de autocompletar de 1Password fue diseñada para requerir que el usuario tome medidas explícitas», dijo Canahuati. «La actualización proporcionará protección adicional al evitar que los campos nativos se completen con credenciales destinadas únicamente a WebView de Android».

El CTO de Keeper, Craig Lurey, dijo en comentarios compartidos con TechCrunch que la compañía había sido informada de una vulnerabilidad potencial, pero no dijo si había realizado algún parche. “Solicitamos un video al investigador para demostrar el problema reportado. Según nuestro análisis, determinamos que el investigador primero instaló una aplicación maliciosa y luego aceptó un mensaje de Keeper para forzar la asociación de la aplicación maliciosa con un registro de contraseña de Keeper”, dijo Lurey.

READ  OnePlus tiene un anuncio que hacer el 8 de marzo

Keeper dijo que «establece medidas de seguridad para proteger a los usuarios contra el autocompletado de credenciales en una aplicación o sitio que no es de confianza y que no ha sido autorizado explícitamente por el usuario», y ha recomendado que el investigador envíe su informe a Google «como es específicamente relacionado con el sistema Android.» plataforma.»

Google y Enpass no respondieron a las preguntas de TechCrunch. Alex Cox, director del equipo de inteligencia, mitigación y escalada de amenazas de LastPass, dijo a TechCrunch que antes de ser informado de los hallazgos de los investigadores, LastPass ya había implementado la mitigación a través de una ventana emergente de advertencia integrada en el producto cuando la aplicación detectó un intento de explotación. la hazaña. «Después de analizar los resultados, agregamos texto más informativo a la ventana emergente», dijo Cox.

Gangwal le dice a TechCrunch que los investigadores están explorando actualmente la posibilidad de que un atacante pueda extraer las credenciales de la aplicación a WebView. El equipo también está investigando si la vulnerabilidad se puede replicar en iOS.

Related Topics:

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España. Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ciencia y tecnología

Samsung podría dividir notificaciones y configuraciones rápidas en Android 15

Published

4 horas ago

on

julio 27, 2024

By

Samsung podría dividir notificaciones y configuraciones rápidas en Android 15

La actualización de Android 15 de Samsung está a la vuelta de la esquina y, por lo que parece, se perfila como una gran actualización. Según información filtrada, uno de los mayores cambios que Samsung hará en su versión de Android 15 será la división de notificaciones y configuraciones rápidas, un cambio que cada vez es más común en las skins de Android.

En 2014, en Android Lollipop, Google actualizó Android desde un diseño de configuración rápida de dos paneles a un solo menú. En ese momento, esto tomó la forma de notificaciones que aparecían primero, con Configuración rápida. otro barridoPoco después, Google los fusionó Para ir aún más lejos, coloque algunos botones de configuración rápida en el área de notificación y el resto se ocultará con un segundo deslizamiento. Aunque la apariencia general ha cambiado, este comportamiento se ha mantenido hasta el día de hoy.

Al menos este es el caso de Android en su forma más pura. En muchos casos, las máscaras OEM en Android cambiarán esto.

HyperOS de Xiaomi y MagicOS de Honor son dos ejemplos clave de este cambio. En ambos casos, las notificaciones y la configuración rápida se dividen en dos paneles de pantalla completa. Con ambos, puedes deslizar el dedo en ciertas partes de la pantalla para moverte entre los paneles, y también puedes deslizar el dedo (al menos en el caso de Honor) desde el lado derecho de la pantalla para abrir directamente la configuración rápida.

Al parecer Samsung está planeando algo similar.

Junto con un montón de otras filtraciones de la actualización One UI 7 de Samsung, el filtrador Chun Bhai citar fuentes Según información de la compañía, Samsung dividirá el panel de notificaciones y configuración rápida en dos paneles separados. El primer panel solo mostrará notificaciones, mientras que el segundo mostrará un diseño de Configuración rápida actualizado, que se dice que tiene un diseño «más redondeado». Al igual que Xiaomi y Honor, Samsung permitirá a los usuarios deslizarse entre paneles.

READ  Se dice que llegará la conectividad satelital del Galaxy S23

Esto también ha quedado parcialmente demostrado en algunas filtraciones más recientes.

Apple también utiliza un diseño de dos paneles para el «Centro de notificaciones» y el «Centro de control», aunque no puedes cambiar entre ellos. Dado que hay varios otros cambios inspirados en iOS en One UI 7, parece razonable suponer que al menos parte de la inspiración de Samsung aquí es hacer las cosas más familiares para los usuarios de Apple.

Se rumorea que Samsung lanzará su primera versión beta de One UI 7, que también viene con otras características inspiradas en Apple, la próxima semana.

Obtenga más información sobre Samsung:

Sigue a Ben: Gorjeo/X, HijoY Instagram

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Continue Reading

Ciencia y tecnología

Las fundas del Pixel 9 Pro de Google tienen fugas con una barra de protección de cámara en ángulo

Published

12 horas ago

on

julio 26, 2024

By

Las fundas del Pixel 9 Pro de Google tienen fugas con una barra de protección de cámara en ángulo

Dada la nueva forma, los diseños de carcasas de Google para Pixel 9 Pro y 9 Pro XL cambiarán de manera más significativa este año, y hoy una filtración revela el aspecto y los colores disponibles.

compartido por títulos de AndroidVemos cómo la carcasa del Pixel 9 Pro cubre completamente los rieles laterales propensos a las huellas dactilares. En particular, es continuo y cubre completamente la parte inferior en lugar de dejar una parte abierta para el acceso sin obstáculos al puerto USB-C. Esto es lo que hace Apple en algunas de sus cajas, pero Google se apega a sus funciones existentes.

La funda del Pixel 9 Pro parece estar hecha de un material de silicona que tendrá buen agarre. El interior está forrado con un material similar a una tela, mientras que el botón de encendido y el control de volumen están cubiertos.

Cabe destacar la fuerte pendiente utilizada para proteger la barra alta de la cámara. En lugar de una pared vertical que rodee los lados de la píldora, la carcasa tiene un ángulo hacia arriba para encontrarse con ella.

Según el informe de hoy, el estuche del Pixel 9 Pro viene en carbón, porcelana, avellana, rosa y aloe. Este último no coincide con ningún color de teléfono existente y es bastante vivo.

Sin embargo, parece haber dos tonos de conchas rosas, uno de los cuales no se menciona en el artículo. Según lo que está disponible para el 9 Pro XL, el color más claro a continuación es el rosa, pero el otro color tiene un tono más oscuro.

El Pixel 9 Pro XL solo está disponible en cuatro colores: carbón, porcelana, avellana y rosa.

READ  Un equipo de desarrollo de cuatro personas ejecuta la GPU de la serie M de Apple en Linux

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Continue Reading

Ciencia y tecnología

Google podría continuar el legado de Chromecast con una caja 'TV Streamer'

Published

3 días ago

on

julio 24, 2024

By

Google podría continuar el legado de Chromecast con una caja 'TV Streamer'

Que quieres saber

  • Un informe afirma que Google está abandonando el diseño del dongle y buscando una caja «TV Streamer» para continuar con el linaje Chromecast.
  • Las fotos filtradas muestran que la caja presenta un diseño en ángulo sobre un pequeño pedestal con un control remoto rediseñado que elimina el ícono del Asistente y mueve el control de volumen.
  • A principios de este año se rumoreaba que Google estaba trabajando en un sucesor del Chromecast 4K, lo que se relaciona con una foto remota filtrada en octubre.

Circulan muchos rumores sobre la «próxima generación de Chromecast», pero un nuevo informe afirma que Google no va por la ruta del dongle.

Algunas imágenes compartidas con 9to5Google Las fotos que se muestran aquí afirman ser de la nueva caja “Google TV Streamer”, que se supone que reemplazará el dongle Chromecast. Las fotos de estilo de vida sugieren que el estuche diseñado para colocarse sobre una mesa tendrá forma de pizarra. Este TV Streamer también parece mucho más ancho que alto. Se desconocen funciones adicionales además del streaming.

Continue Reading

Trending