Los gestores de
contraseñas para Android facilitan el phishingLos gestores de contraseñas para
Android facilitan el phishing
Los gestores de
contraseña se han convertido en una herramienta muy interesante para nuestro
día a día. Es una realidad que cada vez almacenamos más claves. Tenemos más
cuentas, más registros, más información que guardar. Además, si cumplimos con
uno de los consejos básicos como es el contar con una contraseña distinta en
cada caso, se antoja casi necesario tener un software de este tipo. Sin embargo
hay que tener cuidado en cómo elegir. Hoy vamos a explicar cómo los gestores de
contraseñas para Android pueden ser manipulados para beneficiar a los ataques
de phishing. Ya vimos el riesgo de utilizar administradores de contraseñas en
Android.
Algunos gestores de contraseñas de Android
facilitan el phishing
Ya sabemos que los
ataques de phishing son una de las amenazas más presentes hoy en día. Los
ciberdelincuentes se basan en el engaño para conseguir las credenciales de la
víctima. Puede llegar de diversas formas, aunque lo más común es a través de un
correo electrónico o mensaje por redes sociales.
Ahora un grupo de
investigadores ha demostrado que los administradores de contraseñas de Android
pueden ser engañados. De esta manera podrían ayudar en ataques de phishing.
Para ello probaron varios gestores de contraseñas como 1Password, Dashlane,
Keeper, LastPass y Google Smart Lock. Sin duda algunos de los más populares.
Descubrieron que todos ellos a excepción del último confiaban en un aplicación
si tiene el nombre correcto del paquete de la misma.
Sin embargo, la
cuestión es que esos nombres de paquetes pueden ser falsificados por atacantes.
Eso sería suficiente para que el administrador de contraseñas sugiriera las credenciales
en nombre del usuario.
Como podemos
imaginar, esto hace que un posible ataque de phishing pueda llegar a ser
realidad a través de un gestor de contraseñas. Los investigadores explican que
estos gestores actúan de manera distinta a como lo hace un administrador de
contraseñas web. Esto hace que, como hemos mencionado, puedan llegar a ser
engañados y facilitar posibles ataques de phishing.
Cómo funciona
La manera en la que
funciona es que un atacante podría iniciar un ataque de phishing de extremo a
extremo al atraer a la víctima a visitar una página web maliciosa. Esa página
podría contener una funcionalidad relacionada con una aplicación legítima. Por
ejemplo Gmail. Si se hace clic se activa el mecanismo y el atacante podría
falsificar el formulario de inicio de sesión y el administrador de contraseñas
ofrecerá la posibilidad de rellenarlo automáticamente.
Los investigadores
indican que hay soluciones al respecto. Una de ellas es crear una nueva API
para corregir estas vulnerabilidades. En este caso no confiaría en los nombres
de los paquetes, sino que debería verificar si el dominio que solicita las
credenciales está asociado con la aplicación que se conecta.
Eso sí, para llevar a
cabo esta propuesta se necesita del esfuerzo en común de los diferentes
gestores de contraseñas. Esto hace que muchos de los principales
administradores de contraseñas no sean todo lo seguros que deberían en este
sentido.
Como hemos
mencionado, Google Smart Lock no tiene este problema. Esto es así ya que no
confía en una técnica totalmente automática.
Fuente: Help Net
Security