Notebookcheck Logo

La vulnerabilidad AutoSpill de los gestores de contraseñas Android expone los datos de inicio de sesión

Una nueva vulnerabilidad de seguridad pone en peligro las aplicaciones de gestión de contraseñas en Android (Imagen: Dan Nelson/Unsplash).
Una nueva vulnerabilidad de seguridad pone en peligro las aplicaciones de gestión de contraseñas en Android (Imagen: Dan Nelson/Unsplash).
La introducción de contraseñas mediante la función de autorrelleno de los gestores de contraseñas presenta una vulnerabilidad de seguridad en los dispositivos Android. Las aplicaciones maliciosas pueden utilizar el módulo WebView para espiar los datos de inicio de sesión a medida que se introducen.

En la Black Hat Europe 2023 conferencia de seguridad, investigadores del Instituto de Tecnología de la Información de la India https://www.iiit.ac.in/ presentaron una nueva vulnerabilidad denominada 'AutoSpill'. Debido a una brecha en el módulo Android WebView, basado en el navegador Chrome y utilizado para introducir contraseñas en las aplicaciones, las aplicaciones maliciosas pueden, en teoría, acceder a los datos del gestor de contraseñas de forma inadvertida.

Si un gestor de contraseñas introduce automáticamente los datos de acceso mediante autorrelleno, los datos de acceso pueden insertarse en los campos de datos de la app subyacente en WebView en lugar de en el sitio web. En este caso, la propia app puede leer simplemente los datos de acceso, que en realidad sólo deberían insertarse en la página de acceso dentro de WebView.

Esto significa que en este caso no es necesario el phishing, es decir, mostrar un sitio web falso con campos de nombre de usuario y contraseña, sino que se muestra la página de inicio de sesión real de un servicio de Internet. La vulnerabilidad de seguridad se ha probado con gestores de contraseñas como Android's own Google Smart Lock, así como con las aplicaciones de terceros 1Password, Dashlane, Enpass, LastPass, Keepass2Android y Keeper.

Según los investigadores de , la vulnerabilidad 'AutoSpill' se produce en las versiones 10, 11 y 12 de Android y puede explotarse incluso con JavaScript desactivado en todos los gestores de contraseñas (a excepción de Google Smart Lock y Dashlane). Si JavaScript está activado, todos los gestores de contraseñas mencionados se ven afectados por la brecha de seguridad.

Please share our article, every link counts!
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2023 12 > La vulnerabilidad AutoSpill de los gestores de contraseñas Android expone los datos de inicio de sesión
Alexander Pensler, 2023-12-12 (Update: 2023-12-12)