Los gestores de contraseñas suelen ser la vía más cómoda para almacenar todas nuestras contraseñas y generar nuevas automáticamente para todos nuestros servicios y páginas web que requieran inicio de sesión. De esta forma, garantizarás que todas tus contraseñas sean distintas y seguras, mientras tienes acceso a todas ellas a través de un baúl digital y una contraseña maestra.
A pesar de sus beneficios, los gestores también tienen ciertos peligros en lo que a seguridad se refiere, ya que estamos dependiendo de un único servicio para almacenar todas nuestras contraseñas. Es por ello que suelen ser uno de los puntos de mira más atractivos para los hackers. Desgraciadamente, algunos gestores de contraseñas son vulnerables a un nuevo exploit en dispositivos Android.
Los gestores de contraseñas no son invulnerables
En la última presentación de Black Hat en Londres, unos investigadores han descubierto y ofrecido detalles acerca de un nuevo peligro que involucra a ciertos gestores de contraseñas en dispositivos Android. Conocido como ‘AutoSpill’, se trata de un tipo de cadena de ataque que permite a hackers hacerse con las credenciales de acceso de algunos gestores de contraseñas vulnerables a este tipo de ataque.
Esquema del proceso de autocompletado en Android. Imagen: Black Hat
Durante la conferencia demostraron que un buen número de gestores de contraseñas en Android son vulnerables a AutoSpill sin necesidad de inyectar código JavaScript. Y es que esta nueva vía aprovecha los recursos de WebView para obtener las credenciales de acceso de los usuarios.
Las apps de Android a menudo utilizan WebView para mostrar contenido web de páginas de inicio de sesión. En vez de que la app redirija al usuario al navegador predeterminado del teléfono, se usa este método para que la aplicación ofrezca una especie de navegador integrado.
Muchos gestores de contraseñas dependen de esta vía para poder iniciar sesión en sus respectivos servicios. De hecho, algunos gestores usan el framework de WebView para introducir automáticamente las credenciales de acceso de una cuenta cuando la app carga la página web de inicio de sesión en servicios como los de Google, Facebook, Apple o Microsoft.
Los investigadores han descubierto que es posible aprovechar este proceso para obtener las credenciales de acceso de los usuarios, y de esta forma, todas sus contraseñas almacenadas en el servicio. Además, cuando la inyección mediante JavaScript está activada, los investigadores afirman que todos los gestores de contraseñas en Android son vulnerables. Algunos también lo son incluso sin inyectar código JavaScript.
Una vía que aprovecha las lagunas del autocompletado en Android
AutoSpill se aprovecha de la cuestionable forma de gestionar de manera segura los datos autocompletados en Android, haciendo que los datos sean interceptados por la aplicación host. En una situación de ataque, una aplicación maliciosa podría obtener las credenciales del usuario sin dejar ninguna indicación.
Resultados de las pruebas. Imagen: Black Hat
Los investigadores han testeado AutoSpill en toda una selección de gestores de contraseñas en Android 10, 11 y 12. En su estudio encontraron que 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 y KeePass2Android 1.09c-r0 eran vulnerables aprovechándose del framework de autocompletado de Android. Por otro lado, Google Smart Lock 13.30.8.26 and DashLane 6.2221.3, solo fueron vulnerables si se utilizaba la inyección de código JavaScript.
Los resultados de la investigación se enviaron a las empresas del software mencionado en mayo de 2022 y al equipo de seguridad de Android, añadiendo sugerencias para solucionar el problema. La gran mayoría de las empresas ya disponen de medidas efectivas para hacer frente a este problema. Además, para que esto ocurriese, haría falta que el usuario descargase una aplicación maliciosa que interceptase los datos.
Imagen | Azamat E
Vía | Bleeping Computer
Ver 4 comentarios