Menú

Los administradores de contraseñas de Android vulnerables facilitan los ataques de phishing

Un grupo de investigadores ha descubierto que los administradores de contraseñas de Android pueden ser engañados para que ingresen credenciales de inicio de sesión válidas en las aplicaciones de phishing .

También descubrieron que Instant Apps, una tecnología de Google que permite a los usuarios “probar” las aplicaciones de Android sin la necesidad de instalarlas por completo, puede hacer que los ataques de phishing sean más prácticos.

La investigación

Simone Aonzo, Alessio Merlo y Giulio Tavella de la Universidad de Génova y Yanick Fratantonio de EURECOM probaron varios administradores de contraseñas de Android (1Password, Dashlane, Keeper, LastPass y Google Smart Lock) y encontraron que todos, excepto el último, confían en app si tiene el nombre correcto del paquete de la aplicación.

Pero los phishers pueden falsificar ese nombre del paquete y eso es suficiente para que el administrador de contraseñas sugiera (autocompletar) las credenciales en nombre del usuario.

Es interesante observar cómo, en la web, los administradores de contraseñas no alivian los ataques de phishing, sino todo lo contrario. De hecho, los administradores de contraseñas web verifican el nombre de dominio del sitio web actual para determinar si se completan automáticamente (o se sugieren automáticamente) las credenciales: si el nombre de dominio no coincide con las expectativas, no se sugieren credenciales. Por lo tanto, un atacante que usa caracteres Unicode particulares para crear un nombre de dominio de facebook.com puede engañar a un humano, pero no a un administrador de contraseñas: el nombre de dominio malicioso será diferente del legítimo, y la sugerencia del administrador de contraseñas no se activará.

Esto permite a un atacante iniciar un ataque de phishing de extremo a extremo al atraer a la víctima a visitar una página web importante: dicha página web puede contener, por ejemplo, una funcionalidad falsa relacionada con Facebook. “Al hacer clic en él, se activa el mecanismo de la aplicación instantánea, el atacante puede simular un formulario de inicio de sesión de Facebook en pantalla completa, momento en el que el administrador de contraseñas ofrecería rellenar automáticamente las credenciales en nombre de la víctima”.

Para que los administradores de contraseñas puedan hacer eso, los propietarios de sitios web deben ser obligados a publicar un archivo de “activos” en su sitio web para que se pueda establecer un “enlace” de aplicación-sitio web.

Como solución provisional, los administradores de contraseñas vulnerables pueden hacer lo que Google hizo con Smart Lock.

Google Smart Lock ha solucionado estos problemas al no confiar en una técnica completamente automática (los desarrolladores necesitan llenar manualmente un formulario de Google) y al soportar la sincronización de la aplicación a la web solo cuando existe un mapeo seguro. Argumentamos que el resto de los administradores de contraseñas deben seguir un enfoque similar y advertir al usuario sobre posibles problemas cuando no se pueda establecer una asociación segura de aplicaciones a la web, agregaron los investigadores.