El equipo de Google anuncia que adoptará una nueva restricción en el proceso de inicio de sesión, para evitar ataques de phishing.
Es común que las apps permitan a los usuarios iniciar sesión en sus servicios utilizando sus cuentas de Google (o Facebook, Twitter, etc), pasando por el proceso de loguearse en la misma interfaz. Esto es posible gracias a que los desarrolladores integran un navegador web Chromium en la app, que ahorra tener que dirigirse hasta el navegador web para escribir las credenciales.
Si bien, es un proceso simple que el usuario apenas nota, esta dinámica podría abrir las puertas a un ataque de phishing, especialmente a uno denominado MITM (Man in the middle). En el proceso de inicio de sesión, MITM funcionaría como si fuera un intermediario, interceptando en tiempo real la comunicación entre el usuario y Google, para robar las credenciales o datos de de autenticación.
El usuario no notaría nada sospechoso en el proceso, que puede durar apenas unos segundos. Y, debido a que el inicio de sesión no se está realizando en el navegador web completo, Google no tiene forma de saber si el proceso lo está realizando el usuario de manera legítima, o si se trata de MITM.
Así que, para evitar posibles ataques de phishing bajo este contexto, Google decide bloquear todos los inicios de sesión desde marcos de navegadores integrados. Este cambio se aplicará a partir de junio, dando a los desarrolladores tiempo suficiente para realizar los cambios correspondientes, tal como detallan en este enlace.