Alerta, porque tus contraseñas guardadas en Android podrían haber sido filtradas por error. Se trata de un fallo enorme por una vulnerabilidad encontrada en la función de autocompletar de las apps en el sistema operativo de Google.
El problema se presenta en varios administradores de contraseñas móviles. La vulnerabilidad es conocida como “AutoSpill” y lo que hace es exponer las credenciales almacenadas, evadiendo el mecanismo seguro de autocompletar, un fallo de seguridad identificado por investigadores del Instituto Tecnológico Hyderabad.
8 contraseñas que no debes usar nunca
Cómo funciona la vulnerabilidad que expone tus contraseñas
El fallo proviene de WebView, cuando Android carga una página web de inicio. En ese momento, los administradores de contraseñas no son capaces de identificar correctamente la petición, por lo que pueden acabar exponiendo contraseñas de otros servicios, ya que sí logra identificar un formulario para completar.
La razón es que el motor WebView de Google permite que los desarrolladores puedan mostrar una fracción de contenido sin haber iniciado el navegador.
Por eso se produce la solicitud para autocompletar información y credenciales, momento en el que la herramienta de administración de contraseñas lo interpreta como una petición y despliega información que pertenece a otra app o plataforma y queda expuesto el usuario.
Este tipo de acciones solo deberían funcionar con sitios web de Google o Facebook, pero durante la investigación se pudo determinar que es una acción que puede ejecutarse sobre cualquier app de base, por lo que una app maliciosa podría suplantar la identidad de un servicio legítimo y es en ese momento que se produce la exposición.
El fallo de seguridad se pudo identificar en diferentes servicios populares, como 1Password, LastPass, Keeper y Enpass. Además, sucede en cualquier terminal Android, no importa si es nuevo, o bien, un móvil actualizado con una versión del sistema operativo.
Esto deja la pregunta abierta sobre si realmente es seguro almacenar contraseñas en Chrome, por ejemplo, visto que el fallo tiene origen en una herramienta de Google directamente.
Durante la investigación se pudo determinar que una gran cantidad de apps están expuestas al fallo de seguridad y las credenciales están expuestas, pero el riesgo aumenta cuando JavaScript se encuentra activo.
Hasta ahora, servicios como 1Password, Keeper y LastPass son los que han manifestado estar trabajando ante la vulnerabilidad de seguridad para solucionarla definitivamente, pero no existe ningún comunicado por parte de Google.
Queda todavía en proceso una investigación para conocer si este fallo de seguridad puede reproducirse de la misma manera en un iPhone, con el navegador de iOS.
Vía: Techcrunch
Añade esto a tus contraseñas para que sean más seguras
- Ver Comentarios