La gravedad radica en su capacidad para exponer credenciales sin recurrir a tácticas de phishing o engaño.
En el mundo de la seguridad cibernética, surge una nueva preocupación: Autospill, una vulnerabilidad crítica que pone en riesgo la privacidad y seguridad de los usuarios de dispositivos Android, especialmente en relación con los gestores de contraseñas móviles, así lo informó Whatsnew.
Descubierta por investigadores del Instituto Indio de Tecnología de Hyderabad y presentada en la conferencia Black Hat Europe, Autospill aprovecha las debilidades en el uso de controles WebView en aplicaciones Android. Este componente, destinado a mostrar contenido web dentro de las aplicaciones, se convierte en un punto vulnerable al ser explotado para exponer y capturar credenciales almacenadas en gestores de contraseñas móviles.
La gravedad de Autospill radica en su capacidad para exponer credenciales sin recurrir a tácticas de phishing o engaño. En lugar de eso, una aplicación maliciosa puede, de manera sigilosa, capturar credenciales sin dejar rastro del compromiso, representando un riesgo significativo dada la dependencia generalizada de los gestores de contraseñas para salvaguardar información en línea.
Le puede interesar: El estado de la ciberseguridad en Centroamérica en 2023
El funcionamiento de la herramienta se basa en un fallo en la interacción entre gestores de contraseñas y el marco de WebView. Cuando una aplicación utiliza WebView para cargar una página de inicio de sesión, el autocompletado de credenciales puede exponerlas a campos nativos de la aplicación base, permitiendo que una aplicación maliciosa capture información sensible.
La vulnerabilidad ha impactado a gestores de contraseñas populares en Android, incluyendo a 1Password, LastPass, Keeper y Enpass. Aunque algunas empresas han respondido con medidas de mitigación, persisten preocupaciones sobre la seguridad de las credenciales.
1Password ha trabajado en una solución para mitigar la exposición de credenciales, requiriendo ahora una acción explícita del usuario para autocompletar. LastPass ha mejorado sus advertencias de seguridad, mientras que Keeper asegura tener salvaguardias contra el llenado automático en aplicaciones no autorizadas. Enpass, por otro lado, no ha proporcionado información clara sobre medidas de mitigación.
Ante esta vulnerabilidad, se insta a los usuarios a tomar precauciones adicionales. Se recomienda mantener actualizado el sistema operativo y las aplicaciones, ser cauteloso al elegir fuentes de descarga de aplicaciones, habilitar la autenticación de dos factores siempre que sea posible y revisar los ajustes de autofill en los gestores de contraseñas.