¿Usas gestores de contraseñas? Podrían facilitar ataques de phishing en el móvil

Escrito por Javier Jiménez

Los gestores de contraseña se han convertido en una herramienta muy interesante para nuestro día a día. Es una realidad que cada vez almacenamos más claves. Tenemos más cuentas, más registros, más información que guardar. Además, si cumplimos con uno de los consejos básicos como es el contar con una contraseña distinta en cada caso, se antoja casi necesario tener un software de este tipo. Sin embargo hay que tener cuidado en cómo elegir. Hoy vamos a explicar cómo los gestores de contraseñas para Android pueden ser manipulados para beneficiar a los ataques de phishing. Ya vimos el riesgo de utilizar administradores de contraseñas en Android.

Algunos gestores de contraseñas de Android facilitan el phishing

Ya sabemos que los ataques de phishing son una de las amenazas más presentes hoy en día. Los ciberdelincuentes se basan en el engaño para conseguir las credenciales de la víctima. Puede llegar de diversas formas, aunque lo más común es a través de un correo electrónico o mensaje por redes sociales.

Ahora un grupo de investigadores ha demostrado que los administradores de contraseñas de Android pueden ser engañados. De esta manera podrían ayudar en ataques de phishing. Para ello probaron varios gestores de contraseñas como 1Password, Dashlane, Keeper, LastPass y Google Smart Lock. Sin duda algunos de los más populares. Descubrieron que todos ellos a excepción del último confiaban en un aplicación si tiene el nombre correcto del paquete de la misma.

Sin embargo, la cuestión es que esos nombres de paquetes pueden ser falsificados por atacantes. Eso sería suficiente para que el administrador de contraseñas sugiriera las credenciales en nombre del usuario.

Como podemos imaginar, esto hace que un posible ataque de phishing pueda llegar a ser realidad a través de un gestor de contraseñas. Los investigadores explican que estos gestores actúan de manera distinta a como lo hace un administrador de contraseñas web. Esto hace que, como hemos mencionado, puedan llegar a ser engañados y facilitar posibles ataques de phishing.

Cuidado con los administradores de contraseñas para Android

Cómo funciona

La manera en la que funciona es que un atacante podría iniciar un ataque de phishing de extremo a extremo al atraer a la víctima a visitar una página web maliciosa. Esa página podría contener una funcionalidad relacionada con una aplicación legítima. Por ejemplo Gmail. Si se hace clic se activa el mecanismo y el atacante podría falsificar el formulario de inicio de sesión y el administrador de contraseñas ofrecerá la posibilidad de rellenarlo automáticamente.

Los investigadores indican que hay soluciones al respecto. Una de ellas es crear una nueva API para corregir estas vulnerabilidades. En este caso no confiaría en los nombres de los paquetes, sino que debería verificar si el dominio que solicita las credenciales está asociado con la aplicación que se conecta.

Eso sí, para llevar a cabo esta propuesta se necesita del esfuerzo en común de los diferentes gestores de contraseñas. Esto hace que muchos de los principales administradores de contraseñas no sean todo lo seguros que deberían en este sentido.

Como hemos mencionado, Google Smart Lock no tiene este problema. Esto es así ya que no confía en una técnica totalmente automática.

Fuente > Help Net Security