Contenidos
En un nuevo comunicado en la conferencia de seguridad Black Hat Europe, investigadores del Instituto Internacional de Tecnología de la Información (IIIT) de Hyderabad presentaron una nueva amenaza a la seguridad denominada AutoSpill. Este ataque se dirige a los gestores de contraseñas de Android para robar las credenciales de los usuarios durante el autorrelleno.
Cómo funciona AutoSpill
AutoSpill explota el funcionamiento de autocompletar de los gestores de contraseñas de Android. Las aplicaciones de Android suelen utilizar controles WebView para mostrar contenido web, como páginas de inicio de sesión, dentro de la aplicación en lugar de redirigir a los usuarios al navegador principal. Este proceso es especialmente frecuente en los dispositivos de pantalla pequeña, donde ingresar al navegador principal puede resultar una experiencia engorrosa. Los gestores de contraseñas en Android utilizan el framework WebView de la plataforma para introducir automáticamente las credenciales de la cuenta de un usuario cuando una aplicación carga la página de inicio de sesión de servicios como Apple, Facebook, Microsoft o Google.
Los investigadores descubrieron que es posible emplear las debilidades de este proceso para capturar las credenciales rellenadas automáticamente en la aplicación que las invoca, incluso sin inyección de JavaScript. Si las inyecciones de JavaScript están habilitadas, todos los gestores de contraseñas en Android son vulnerables al ataque AutoSpill. Este problema se debe a que Android no impone ni define claramente la responsabilidad de resolver de forma segura los datos autocompletados. En consecuencia, estos datos pueden filtrarse o ser capturados por la aplicación anfitriona.
Impacto y contramedidas
Los investigadores probaron AutoSpill contra varios gestores de contraseñas en Android 10, 11 y 12. Encontraron que múltiples gestores de contraseñas, incluyendo 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 y Keepass2Android 1.09c-r0, son susceptibles de sufrir ataques debido a que utilizan el framework autofill de Android.
Sin embargo, Google Smart Lock 13.30.8.26 y DashLane 6.2221.3, que utilizan un enfoque técnico diferente para el proceso de autorrelleno, no filtraron datos sensibles a la aplicación host a menos que se utilizara la inyección de JavaScript. Los resultados se comunicaron a los proveedores de software afectados y al equipo de seguridad de Android, y se compartieron propuestas para solucionar el problema. Se reconoció la validez del informe, pero no se dieron detalles sobre los planes de solución.
Respuestas de los proveedores de software
Varios proveedores de software han respondido a la amenaza AutoSpill. Un portavoz de 1Password declaró que se ha identificado una solución para AutoSpill y que se está trabajando en ella. La actualización mejorará su postura de seguridad al evitar que los campos nativos se rellenen con credenciales destinadas solamente a la WebView de Android.
LastPass, sin embargo, ya había implementado medidas de mitigación antes de recibir los hallazgos de AutoSpill. Tienen una advertencia emergente en el producto cuando la aplicación detecta un intento de aprovechar el exploit y han añadido un texto más informativo en la ventana emergente tras analizar los hallazgos.
Keeper Security, cofundada por Craig Lurey, aclaró que Keeper cuenta con salvaguardias que protegen a los usuarios contra el ingreso automático de credenciales en una aplicación o sitio no fiables. Se pide al usuario que confirme la asociación de la aplicación al registro de contraseñas de Keeper antes de servir cualquier información.
Google también se ha pronunciado al respecto, afirmando que está relacionado con la forma en que los gestores de contraseñas aprovechan las API de autorrelleno al interactuar con WebViews. Recomiendan a todos los gestores de contraseñas que apliquen las mejores prácticas de WebView y que proporcionen a los gestores de contraseñas el contexto necesario para distinguir entre vistas nativas y WebViews.