Han descubierto un importante riesgo de seguridad en Android que afecta a cómo se introducen automáticamente las contraseñas: según investigadores de seguridad, resulta posible crear un software para capturar los passwords en algunos formularios web. Este fallo de privacidad afectaría a la mayoría de gestores de contraseñas.
No hay un elemento más delicado en un smartphone que las contraseñas, ese elemento capaz de abrir la puerta desde a los datos personales a la cuenta del banco. Con un proceso de desaparición en favor de las passkeys, lo más recomendables es guardar los passwords en una aplicación que ofrezca toda la seguridad para el almacenaje. Eso sí, tampoco son 100 % seguras: las apps de gestión de contraseñas se han convertido en una diana de ataque en Android.
AutoSpill, un malware capaz de robar contraseñas al vuelo
Rellenado de login en WebView y con el gestor de contraseñas de Google
A la hora de rellenar los campos de usuario y contraseña, Android dispone de una función que realiza el proceso automáticamente; ya sea en una app como en el navegador web. El autocompletado de contraseñas, nombre de la función, permite habilitar un servicio para que ejecute la tarea. Por defecto, es Google quien se encarga de trasladar los passwords desde la cuenta del usuario a los formularios, pero esa función puede configurarse para la mayoría de gestores de contraseñas. Y, según se ha descubierto, el pegado de los datos es susceptible de interceptarse.
Como descubrieron investigadores de seguridad que se reunieron en el Black Hat Europe de la pasada semana, los procesos de autorellenado de contraseñas en Android son vulnerables a los ataques para robar dichos passwords. Para demostrarlo crearon una herramienta que bien podría convertirse en malware: AutoSpill.
El funcionamiento de la citada herramienta le permite mantenerse en segundo plano dentro del sistema mientras permanece alerta a cualquier formulario que se rellena en el teléfono desde una página web, aunque siempre que dicha página se abra en WebView. El visor del navegador que permite facilitar la gestión de cuentas en las aplicaciones no es completamente seguro, ya que herramientas como AutoSpill podrían sustraer las contraseñas sin que el usuario se diese cuenta.
Un escenario habitual es el de la apertura de un enlace desde cualquier aplicación, algo que se realiza en WebView para así no cargar el navegador completo. Vamos a iniciar sesión, pulsamos sobre el campo de usuario y el autocompletado de contraseñas nos sugiere el usuario y el password. Al aceptar, los campos se rellenan automáticamente, un proceso en el que intervienen los controles de WebView y el gestor de contraseñas. Y u malware como AutoSpill podría capturar los datos al vuelo para robarlos sin hacer el más mínimo ruido, incluso sin inyectar código en el sistema; lo cual hace aún más invisible su funcionamiento. De utilizarse código (Javascript), no habría ningún gestor capaz de librarse de la amenaza.
Los investigadores avisaron a las empresas detrás de los gestores de contraseñas más conocidos, incluida la propia Google. Según las respuestas recibidas, el problema habría sido parcheado, aunque recomiendan tener mucha precaución con los formularios rellenados en el visor de WebView.
Más información | Black Hat Europe 2023
Vía | Bleeping Computer
En Xataka Móvil | Este malware logra grabar las llamadas en Android incluso aunque Google lo vete de serie
Ver 0 comentarios