Varios administradores de contraseñas móviles populares están revelando sin darse cuenta las credenciales de los usuarios debido a una vulnerabilidad en la funcionalidad de autocompletar de las aplicaciones de Android.
La vulnerabilidad, denominada «AutoSpill», podría exponer las credenciales guardadas de los usuarios en administradores de contraseñas móviles, evitando el mecanismo seguro de autocompletar de Android, según investigadores universitarios del IIIT Hyderabad, quienes descubrieron la vulnerabilidad y presentaron su investigación en Black Hat Europe esta semana.
Los investigadores Ankit Gangwal, Shubham Singh y Abhijeet Srivastava descubrieron que cuando una aplicación de Android carga una página de inicio de sesión en WebView, los administradores de contraseñas pueden «equivocarse» acerca de dónde dirigir la información de inicio de sesión del usuario y, en cambio, exponer sus credenciales a la información de inicio de sesión de la aplicación subyacente. campos nativos, dijeron. Esto se debe a que WebView, el motor preinstalado de Google, permite a los desarrolladores mostrar contenido web en la aplicación sin iniciar un navegador web y se genera una solicitud de autocompletar.
“Supongamos que está intentando iniciar sesión en su aplicación de música favorita en su dispositivo móvil y utiliza la opción ‘iniciar sesión a través de Google o Facebook’. La aplicación de música abrirá una página de inicio de sesión de Google o Facebook a través de WebView”, explicó Gangwal a TechCrunch antes de su presentación de Black Hat el miércoles.
“Cuando se invoca el administrador de contraseñas para autocompletar las credenciales, lo ideal sería que solo se autocompletara en la página de Google o Facebook que se cargó. Pero descubrimos que la operación de autocompletar podría exponer accidentalmente las credenciales a la aplicación base”.
Gangwal señala que las ramificaciones de esta vulnerabilidad, especialmente en un escenario donde la aplicación base es maliciosa, son significativas. Añadió: «Incluso sin phishing, cualquier aplicación maliciosa que le solicite iniciar sesión a través de otro sitio, como Google o Facebook, puede acceder automáticamente a información confidencial».
Los investigadores probaron la vulnerabilidad de AutoSpill utilizando algunos de los administradores de contraseñas más populares, incluidos 1Password, LastPass, Keeper y Enpass, en dispositivos Android nuevos y actualizados. Descubrieron que la mayoría de las aplicaciones eran vulnerables a la fuga de credenciales incluso con la inyección de JavaScript desactivada. Cuando se habilitó la inyección de JavaScript, todos los administradores de contraseñas eran susceptibles a la vulnerabilidad AutoSpill.
Gangwal dice que alertó a Google y a los administradores de contraseñas afectados sobre la falla.
El director de tecnología de 1Password, Pedro Canahuati, dijo a TechCrunch que la compañía ha identificado y está trabajando en una solución para AutoSpill. «Si bien la solución fortalece aún más nuestra postura de seguridad, la función de autocompletar de 1Password está diseñada para requerir que el usuario tome medidas explícitas», dijo Canahuati. «La actualización brindará protección adicional al evitar que los campos nativos se completen con credenciales destinadas únicamente a Android WebView».
El CTO de Keeper, Craig Lurey, dijo en comentarios compartidos con TechCrunch que la compañía fue notificada sobre una posible vulnerabilidad, pero no dijo si había realizado alguna solución. “Solicitamos un video al investigador para demostrar el problema reportado. Según nuestro análisis, determinamos que el investigador primero instaló una aplicación maliciosa y posteriormente aceptó una solicitud de Keeper para asociar por la fuerza la aplicación maliciosa con un registro de contraseña de Keeper”, dijo Lurey.
Keeper dijo que «existen salvaguardas para proteger a los usuarios contra el autocompletado de credenciales en una aplicación que no es de confianza o en un sitio web que no ha sido autorizado explícitamente por el usuario» y recomendó que el investigador envíe su informe a Google «ya que está específicamente relacionado con Android». . plataforma.»
Google y Enpass no respondieron a las preguntas de TechCrunch. Alex Cox, director del equipo de inteligencia, mitigación y escalada de amenazas de LastPass, dijo a TechCrunch que antes de conocer los hallazgos de los investigadores, LastPass ya tenía mitigación implementada a través de una advertencia emergente en el producto cuando la aplicación detectaba un intento de tomar ventaja del exploit. «Después de analizar los hallazgos, agregamos más palabras informativas a la ventana emergente», dijo Cox.
Gangwal le dijo a TechCrunch que los investigadores ahora están explorando la posibilidad de que un atacante extraiga las credenciales de la aplicación para WebView. El equipo también está investigando si la vulnerabilidad se puede replicar en iOS.