Ni usando gestores de contraseñas estamos a salvo: descubren un nuevo fallo de seguridad en Android

Los gestores de contraseñas en Android serían vulnerables al robo silencioso de passwords

Alerta Malware Portada 2
Sin comentarios Facebook Twitter Flipboard E-mail

Han descubierto un importante riesgo de seguridad en Android que afecta a cómo se introducen automáticamente las contraseñas: según investigadores de seguridad, resulta posible crear un software para capturar los passwords en algunos formularios web. Este fallo de privacidad afectaría a la mayoría de gestores de contraseñas.

No hay un elemento más delicado en un smartphone que las contraseñas, ese elemento capaz de abrir la puerta desde a los datos personales a la cuenta del banco. Con un proceso de desaparición en favor de las passkeys, lo más recomendables es guardar los passwords en una aplicación que ofrezca toda la seguridad para el almacenaje. Eso sí, tampoco son 100 % seguras: las apps de gestión de contraseñas se han convertido en una diana de ataque en Android.

AutoSpill, un malware capaz de robar contraseñas al vuelo

Gestor Passwords Rellenado de login en WebView y con el gestor de contraseñas de Google

A la hora de rellenar los campos de usuario y contraseña, Android dispone de una función que realiza el proceso automáticamente; ya sea en una app como en el navegador web. El autocompletado de contraseñas, nombre de la función, permite habilitar un servicio para que ejecute la tarea. Por defecto, es Google quien se encarga de trasladar los passwords desde la cuenta del usuario a los formularios, pero esa función puede configurarse para la mayoría de gestores de contraseñas. Y, según se ha descubierto, el pegado de los datos es susceptible de interceptarse.

Como descubrieron investigadores de seguridad que se reunieron en el Black Hat Europe de la pasada semana, los procesos de autorellenado de contraseñas en Android son vulnerables a los ataques para robar dichos passwords. Para demostrarlo crearon una herramienta que bien podría convertirse en malware: AutoSpill.

El funcionamiento de la citada herramienta le permite mantenerse en segundo plano dentro del sistema mientras permanece alerta a cualquier formulario que se rellena en el teléfono desde una página web, aunque siempre que dicha página se abra en WebView. El visor del navegador que permite facilitar la gestión de cuentas en las aplicaciones no es completamente seguro, ya que herramientas como AutoSpill podrían sustraer las contraseñas sin que el usuario se diese cuenta.

Un escenario habitual es el de la apertura de un enlace desde cualquier aplicación, algo que se realiza en WebView para así no cargar el navegador completo. Vamos a iniciar sesión, pulsamos sobre el campo de usuario y el autocompletado de contraseñas nos sugiere el usuario y el password. Al aceptar, los campos se rellenan automáticamente, un proceso en el que intervienen los controles de WebView y el gestor de contraseñas. Y u malware como AutoSpill podría capturar los datos al vuelo para robarlos sin hacer el más mínimo ruido, incluso sin inyectar código en el sistema; lo cual hace aún más invisible su funcionamiento. De utilizarse código (Javascript), no habría ningún gestor capaz de librarse de la amenaza.

Los investigadores avisaron a las empresas detrás de los gestores de contraseñas más conocidos, incluida la propia Google. Según las respuestas recibidas, el problema habría sido parcheado, aunque recomiendan tener mucha precaución con los formularios rellenados en el visor de WebView.

Más información | Black Hat Europe 2023

Vía | Bleeping Computer

En Xataka Móvil | Este malware logra grabar las llamadas en Android incluso aunque Google lo vete de serie

Comentarios cerrados
Inicio