(Crédito: Vladwel/Shutterstock)

Nota del editor: Este artículo se ha puesto al día con una declaración de un representante de LastPass.

Ahora le hemos estado diciendo sobre la importancia de los encargados de la contraseña por una cierta hora; pueden crear las contraseñas que son muy difíciles de agrietarse, y guardan una lista de todas sus cuentas que usted pueda chascar o golpear ligeramente para pegar sus detalles en una ventana del app. Toda lo que usted necesita recordar es la conexión Info para el Manager sí mismo.

VER: Cómo a la carne de vaca encima de su seguridad de Chrome y de Firefox adentro 2018

Desafortunadamente, resulta que varios encargados importantes de la contraseña en Android podrían hacer un trabajo mejor de verificar la autenticidad de los apps que están pidiendo sus contraseñas y nombres del usuario, ZDNet divulgan. Esta nueva información viene gracias a un estudio académico realizado por la universidad de Génova y un equipo francés del cybersecurity nombrado EUROCOM.

Según estos investigadores, el corte es un simple como dar al impostor app el mismo nombre del paquete que el app verdadero, y fabricación que del impostor parece visualmente idéntico. Cuando el impostor app pide su Info, una contraseña Manager con el autofill permitido considerará esta petición y ofrecerá proporcionar ese Info al impostor de un solo golpecito.

El equipo probó el encargado, Dashlane, LastPass, y 1Password, que falló en su prueba. Sin embargo, quinto, cerradura elegante de Google, no fue engañado. Eso es porque utiliza una capa de la seguridad llamada Digital Asset Links, o DAL. Con el DAL, se obliga a una contraseña Manager que solicite la verificación del Web site que se asocia al app que desea su contraseña.

No está claro cómo éste trabajaría si el dispositivo no tiene una conexión del Internet, pero el DAL aparece ser más seguro que el cheque convencional del nombre del paquete actualmente funcionando por los encargados principales de la contraseña.

SIGA Download.com en Twitter para todas las noticias más últimas del app.

Craig Lurey, el CTO y co-fundador del encargado, una contraseña popular Manager, dicha en un poste del blog, “para estar claro, en este tiempo ningunos usuarios del encargado ha divulgado un ataque phishing o sabido para tener usos malévolos instalados.”

Él indicó que un corte acertado de la contraseña es contingente en el usuario que obtiene al impostor app para comenzar con, que es un punto justo; el Google Play Store puede recibir a veces a imitadores de apps populares, pero los stealers malévolos absolutos de la contraseña han sido raros hasta ahora.

LastPass también ha sometido un nuevo API a Google que leverages el DAL en vez de nombres del paquete.

Sin embargo, con este nuevo informe académico en el ojo público, podemos inmóvil ver una cierta mañosidad creciente en el almacén del juego hasta que los encargados principales de la contraseña son actualizados.

Y cualquier manera, obteniendo un app fuera del almacén del juego sigue siendo común -- de hecho, es necesario si usted desea jugar Fortnite en un dispositivo de Android -- y los artistas con en YouTube y a otra parte están intentando constantemente trampear a gente en descargar de estas fuentes alternativas que no se han revisado oficialmente.

Mientras tanto, sugerimos hechar una ojeada cercano cualquier apps que usted haya descargado fuera del almacén del juego, y quizás evitar cualquiera que requiere una contraseña utilizar.

Un representante para LastPass nos ha enviado la declaración siguiente:

“Esta vulnerabilidad particular en ecosistema de Android app fue traída a nuestra atención por la universidad de Génova, de Italia, y de los investigadores de EURECOM con nuestro programa de la generosidad del insecto. Mientras que requerirán los esfuerzos continuados de la tela y a las comunidades de Android también, hemos puesto ya cambios en ejecución a nuestro LastPass Android app para atenuar y para reducir al mínimo el riesgo del ataque potencial detallado en este informe. Nuestro app ahora requiere la aprobación explícita del usuario antes de llenar cualesquiera apps desconocidos, y hemos aumentado la integridad de nuestra base de datos de las asociaciones del app para reducir al mínimo el riesgo de cualquier “apps falso” que era llenado/aceptado. En este tiempo, no tenemos ninguna indicación o Reason de creer que se ha comprometido cualquier dato sensible del usuario de LastPass. Como siempre, entregar un servicio seguro para nuestros usuarios sigue siendo nuestra prioridad superior y continuaremos trabajando con la comunidad de la seguridad para responder y para fijar informes potenciales de la vulnerabilidad lo más rápidamente posible. “

Los takeaways

  • Los investigadores académicos y una firma francesa del cybersecurity están divulgando que los encargados populares múltiples de la contraseña de Android son vulnerables a los apps del impostor que piden nombres y contraseñas del usuario.
  • Estos impostors utilizan el mismo nombre del paquete que los apps verdaderos, y se hacen mirada visualmente idéntica.
  • Esta clase de cosa es rara en el almacén del juego, pero tendríamos muy cuidados sobre los apps obtenidos fuera del almacén que desean sus contraseñas.

También vea

Tom McNamara es redactor mayor para Download.com de CNET. Él cubre principalmente Windows, móvil y seguridad de DeskTop, los juegos, Google, los servicios que fluyen, y los medios sociales. Tom era también redactor en el máximo PC e ignición, y su trabajo ha aparecido en CNET, PC Gamer, MSN.com, y Salon.com. Él es también unreasonably orgulloso que él ha mantenido el mismo teléfono por más de dos años.