Algunos administradores de contraseñas móviles pueden filtrar las credenciales de los usuarios gracias al autocompletar Portabilidad En algunas aplicaciones de Android.
El problema, inteligentemente denominado «AutoSpill», podría exponer las contraseñas guardadas de los usuarios por parte de los administradores de dispositivos móviles al evadir el mecanismo seguro de autocompletar de Android.
Esta desagradable noticia proviene de investigadores universitarios del Instituto Internacional de Tecnología de la Información en Hyderabad, quienes presentaron sus hallazgos en una conferencia sobre seguridad informática llamada Black Hat Europe.
El estudio completo es muy detallado, pero el problema principal es que algunos administradores de contraseñas se confunden acerca de dónde apuntar la información de inicio de sesión de un usuario cuando una aplicación usa un WebView, exponiendo las credenciales a la aplicación subyacente. WebView es una herramienta en Android para mostrar páginas web sin pasar por un navegador web, que las aplicaciones suelen utilizar para mostrar páginas de inicio de sesión y otro contenido sin sacar a los usuarios de la aplicación y acceder a Chrome u otro navegador.
Uno de los investigadores del proyecto, Ankit Gangwal, afirma que publicar las credenciales de los usuarios supone un importante riesgo para la seguridad. «Incluso sin phishing, cualquier aplicación maliciosa que le solicite iniciar sesión a través de otro sitio, como Google o Facebook, puede acceder automáticamente a información confidencial», dijo Gangwal.
Los administradores de contraseñas populares como Enpass, 1Password, LastPass y Keeper han sido probados para detectar la vulnerabilidad AutoSpill y todos muestran signos de una posible fuga de credenciales.
Afortunadamente, Gangwal ha alertado a Google y a los gestores de contraseñas afectados de la vulnerabilidad, y ya ha notificado a algunas empresas. TechCrunch Están buscando formas de resolver el problema.
Además, el equipo de estudiantes investigadores está investigando actualmente si la vulnerabilidad se puede replicar en iOS. También explora escenarios a través de los cuales los atacantes pueden extraer credenciales de la aplicación a WebView.
Credential Manager, el software de seguridad de contraseñas de Google que funciona con aplicaciones como 1Password y Enpass, se lanzó el 1 de noviembre.
fuente: TechCrunch
«Experto en Internet. Lector. Fanático de la televisión. Comunicador amistoso. Practicante de alcohol certificado. Aficionado al tocino. Explorador. Malvado adicto a los tweets».
More Stories
Se han revelado las incorporaciones al catálogo de juegos de PlayStation Plus para mayo de 2024
Las aplicaciones de Android pronto te permitirán usar tu cara para controlar el cursor
Apple necesita ponerse al día en IA con Google y OpenAI