MADRID, 7 (Portaltic/EP)
Así lo pudieron comprobar hace unos meses los investigadores de IIIT Hyderabad Ankit Gangwal, Shubham Singh y Abhijeet Srivastava, quienes han explicado el funcionamiento de este error en el marco de Black Hat Europe, que ha tenido lugar esta semana.
Estos expertos descubrieron que cuando una aplicación de Android carga una página de inicio de sesión en WebView, el motor preinstalado de Google, los administradores de contraseñas pueden exponer las credenciales de los usuarios por un error que les "desorienta".
Esto fue posible porque WebView permite a los desarrolladores mostrar contenido web en una aplicación sin iniciar un navegador web. "Cuando se invoca el administrador de contraseñas para autocompletas las credenciales, solo debería autocompletarse en la página de Google o Facebook que se ha cargado, pero descubrimos que la operación de autocompletar podría exponer accidentalmente las credenciales en la aplicación base", ha explicado Gangwal en declaraciones recogidas por TechCrunch.
Este investigador ha señalado que las ramificaciones de esta vulnerabilidad, concretamente en escenarios donde las aplicaciones base no son legítimas, pueden ser significativas. "Incluso sin 'phishing', cualquier aplicación maliciosa que le solicite iniciar sesión a través de otro sitio puede acceder automáticamente a la información confidencial", ha añadido.
Para llegar a estas conclusiones, los analistas probaron la vulnerabilidad AutoSpill utilizando algunos de los administradores de contraseñas más populares, entre los que se encuentran 1Password, LastPass, Enpass y Keeper, todos ellos en dispositivos nuevos y actualizados. Entonces, descubrieron que la mayoría de las aplicaciones eran vulnerables a esta fuga de contraseñas.
Tras poner esta falla en conocimiento de Google, administradores como 1Password han admitido que están trabajando para solucionar esta vulnerabilidad, con una actualización que "brindará protección adicional al evitar que los campos de texto se llenen con credenciales que solo están destinadas a WebView de Android", según el director de tecnología de esta firma, Pedro Canahuati.
Desde Keeper, en cambio, no han confirmado que trabajan en un parche concreto para AuroSpill. "Solicitamos un vídeo a los investigadores para demostrar el problema y determinamos que habían instalado primero una aplicación maliciosa para, después, forzar la vinculación entre esta y el registro de contraseñas de Keeper", ha indicado el CTO de este otro gestor, Craig Lurey.
Este directivo, además, ha matizado que Keeper "establece protecciones contra el llenado automático de credenciales" de servicios que no son de confianza y ha atribuido el problema a Google, "ya que está específicamente relacionado con Android".
Por el momento, ni Google ni Enpass han dado su versión, aunque sí lo ha hecho LastPass, que ha señalado que ya contaba con una herramienta apra mititigar este problema, una advertencia emergente que el gestor mostraba cuando la aplicación intentaba aprovechar este 'exploit'.
Ankit Gangwal, por su parte, ha asegurado que su equipo ahora está explorando la posibilidad de que los atacantes extraigan credenciales de la aplicación a WebView y si esta falla también se puede reproducir en terminales iOS.