Un estudio halló que una serie de gestores de contraseñas pueden resultar ‘engañados’ al creer que ciertas aplicaciones maliciosas son legítimas.
Un estudio realizado por la Universidad de Génova y el equipo de seguridad Eurocom ha descubierto una vulnerabilidad en las versiones para Android de administradores de contraseñas como Keeper, Dashlane, LastPass y 1Password, reporta el portal ZDNet.
Resulta que estos gestores pueden ser ‘engañados’ al creer que las aplicaciones maliciosas son legítimas, lo que aumenta el riesgo de ataques por medio de ‘phishing’. Esta vulnerabilidad se genera por el hecho de que los gestores de contraseñas, desarrollados inicialmente para navegadores de escritorio, no son tan seguros en los teléfonos que funcionan con Android, explica el portal.
El problema es que los administradores de contraseñas en celulares tienen dificultades a la hora de asociar las credenciales del sitio web almacenadas de un usuario con una aplicación móvil, y crear luego un enlace entre la web y la aplicación oficial.
La mayoría de los gestores en los teléfonos celulares con Android establecen el enlace utilizando el nombre del paquete de una aplicación, mientras que «dentro del ecosistema de Android no se puede confiar en los nombres de los paquetes, ya que pueden ser falsificados con bastante facilidad por un actor malintencionado», explica el medio.
Esto puede derivar en que el gestor de contraseñas se vea ‘engañado’ al asociar una aplicación maliciosa con una página web legítima, y la aplicación maliciosa puede, en ese caso, quedarse con la contraseña y el nombre de un usuario.
Los investigadores contactaron a las compañías productoras de estos gestores de contraseñas, y algunos, como LastPass y Keeper, afirmaron que tomarán medidas para solucionar el problema.