{"id":145519,"date":"2023-12-11T04:13:16","date_gmt":"2023-12-11T04:13:16","guid":{"rendered":"https:\/\/es.digitaltrends.com\/?p=1013445"},"modified":"2023-12-11T04:13:16","modified_gmt":"2023-12-11T04:13:16","slug":"tus-contrasenas-moviles-corren-peligro-en-android","status":"publish","type":"post","link":"http:\/\/cordobadirecto.com\/index.php\/2023\/12\/11\/tus-contrasenas-moviles-corren-peligro-en-android\/","title":{"rendered":"\u00bfTus contrase\u00f1as m\u00f3viles corren peligro en Android?"},"content":{"rendered":"
Imagen utilizada con permiso del titular de los derechos de autor<\/span><\/figcaption><\/figure>\n

Si eres de los que guardan y tienen sus contrase\u00f1as m\u00f3viles con alg\u00fan servicio como LastPass, 1Password o Keeper en Android<\/strong><\/a>, entonces tendr\u00e1s que estar muy atento, ya que una vulnerabilidad de seguridad podr\u00eda estar poniendo en riesgo a tu celular.<\/p>\n

La vulnerabilidad<\/strong><\/a>, denominada \u00abAutoSpill\u00bb, puede exponer las credenciales guardadas de los usuarios de los administradores de contrase\u00f1as m\u00f3viles al eludir el mecanismo seguro de autocompletado de Android, seg\u00fan investigadores universitarios del IIIT Hyderabad, que descubrieron la vulnerabilidad y presentaron su investigaci\u00f3n en Black Hat Europe esta semana.<\/p>\n

Los investigadores, Ankit Gangwal, Shubham Singh y Abhijeet Srivastava, descubrieron que cuando una aplicaci\u00f3n de Android carga una p\u00e1gina de inicio de sesi\u00f3n en WebView, los administradores de contrase\u00f1as pueden \u00abdesorientarse\u00bb sobre d\u00f3nde deben apuntar la informaci\u00f3n de inicio de sesi\u00f3n del usuario y, en cambio, exponer sus credenciales a los campos nativos de la aplicaci\u00f3n subyacente, dijeron. Esto se debe a que WebView, el motor preinstalado de Google, permite a los desarrolladores mostrar contenido web en la aplicaci\u00f3n sin iniciar un navegador web, y se genera una solicitud de autocompletar.<\/p>\n

\u00abDigamos que est\u00e1s intentando iniciar sesi\u00f3n en tu aplicaci\u00f3n de m\u00fasica favorita en tu dispositivo m\u00f3vil y usas la opci\u00f3n de \u2018iniciar sesi\u00f3n a trav\u00e9s de Google o Facebook\u2019. La aplicaci\u00f3n de m\u00fasica abrir\u00e1 una p\u00e1gina de inicio de sesi\u00f3n de Google o Facebook dentro de s\u00ed misma a trav\u00e9s de WebView\u00bb, explic\u00f3 Gangwal a TechCrunch.<\/a><\/p>\n

\u00abCuando se invoca el administrador de contrase\u00f1as para autocompletar las credenciales, idealmente, deber\u00eda autocompletarse solo en la p\u00e1gina de Google o Facebook que se ha cargado. Pero descubrimos que la operaci\u00f3n de autocompletar podr\u00eda exponer accidentalmente las credenciales a la aplicaci\u00f3n base\u00bb.<\/p>\n

Gangwal se\u00f1ala que las ramificaciones de esta vulnerabilidad, particularmente en un escenario en el que la aplicaci\u00f3n base es maliciosa, son significativas. Y a\u00f1adi\u00f3: \u00abIncluso sin phishing, cualquier aplicaci\u00f3n maliciosa que te pida que inicies sesi\u00f3n a trav\u00e9s de otro sitio, como Google o Facebook, puede acceder autom\u00e1ticamente a informaci\u00f3n sensible\u00bb.<\/p>\n

La plataforma Keeper dijo que \u00absalvaguarda para proteger a los usuarios contra el llenado autom\u00e1tico de credenciales en una aplicaci\u00f3n no confiable o un sitio que no fue autorizado expl\u00edcitamente por el usuario\u00bb, y recomend\u00f3 que el investigador env\u00ede su informe a Google \u00abya que est\u00e1 espec\u00edficamente relacionado con la plataforma Android\u00bb.<\/p>\n

Recomendaciones del editor<\/h4>\n

<\/span> <\/span> <\/span> <\/span> <\/p>\n","protected":false},"excerpt":{"rendered":"

Imagen utilizada con permiso del titular de los derechos de autor Si eres de los que guardan y tienen sus contrase\u00f1as m\u00f3viles con alg\u00fan servicio como LastPass, 1Password o Keeper en Android, entonces tendr\u00e1s que estar muy atento, ya que una vulnerabilidad de seguridad podr\u00eda estar poniendo en riesgo a tu celular. La vulnerabilidad, denominada […]<\/p>\n","protected":false},"author":1,"featured_media":145520,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[26],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/145519"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=145519"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/145519\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/145520"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=145519"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=145519"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=145519"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}