Autospill representa una vulnerabilidad crítica en el ámbito de la seguridad cibernética, especialmente en lo que respecta a los gestores de contraseñas en dispositivos Android. Esta vulnerabilidad ha suscitado preocupación debido a su capacidad para comprometer la privacidad y seguridad de los usuarios de una manera notablemente simple y efectiva.
Autospill es una vulnerabilidad descubierta en los gestores de contraseñas móviles utilizados en dispositivos Android. Esta vulnerabilidad permite que las credenciales almacenadas en estas aplicaciones sean expuestas y potencialmente capturadas por aplicaciones maliciosas. El término «Autospill» describe adecuadamente este fenómeno, ya que se refiere al «derrame» automático de credenciales almacenadas en gestores de contraseñas móviles, eludiendo las medidas de seguridad establecidas para la función de autocompletado en Android.
El mecanismo subyacente de Autospill se centra en el uso de los controles WebView en aplicaciones Android. WebView es un componente que permite a las aplicaciones mostrar contenido web dentro de la propia aplicación en lugar de redirigir al usuario a un navegador web. Esto se utiliza comúnmente para cargar páginas de inicio de sesión en las aplicaciones. Los gestores de contraseñas en Android utilizan este marco de WebView para autocompletar las credenciales del usuario en dichas páginas de inicio de sesión.
Sin embargo, los investigadores descubrieron que durante este proceso, es posible explotar debilidades para capturar las credenciales autocompletadas en la aplicación invocadora. Esto puede ocurrir incluso sin la inyección de JavaScript. Si se habilitan las inyecciones de JavaScript, la vulnerabilidad se agrava, haciendo que todos los gestores de contraseñas en Android sean susceptibles al ataque de Autospill.
La relevancia de Autospill radica en su capacidad para exponer las credenciales de los usuarios sin necesidad de técnicas de phishing o engaño. En un escenario de ataque, una aplicación maliciosa que presente un formulario de inicio de sesión podría capturar las credenciales del usuario sin dejar rastro alguno del compromiso. Esto representa un riesgo significativo, especialmente considerando la popularidad y la dependencia generalizada de los gestores de contraseñas para mantener seguras las credenciales en línea.
La vulnerabilidad de Autospill fue descubierta por investigadores del Instituto Indio de Tecnología de Hyderabad. Presentaron sus hallazgos en la conferencia Black Hat Europe, destacando la gravedad y el alcance potencial de esta vulnerabilidad en la seguridad cibernética. Su investigación proporciona un análisis detallado del problema y sugiere la necesidad urgente de abordarlo.
Ejemplo de cómo funciona
El funcionamiento de Autospill, tal y como he comentado, se basa en un error en la interacción entre los gestores de contraseñas y el marco de WebView en Android. Cuando una aplicación utiliza WebView para cargar una página de inicio de sesión (por ejemplo, una página de Google o Facebook para iniciar sesión), se supone que el gestor de contraseñas debe autocompletar las credenciales únicamente en los campos correspondientes de la página web cargada en WebView.
Sin embargo, debido a la vulnerabilidad de Autospill, en lugar de limitar el autocompletado a los campos de la página de inicio de sesión, las credenciales pueden ser expuestas inadvertidamente a los campos nativos de la aplicación base. El resultado es una exposición de las credenciales que podrían ser capturadas por la aplicación host, creando un riesgo de seguridad significativo.
Un ejemplo típico de cómo podría explotarse esta vulnerabilidad es a través de una aplicación que ofrezca la opción de iniciar sesión mediante cuentas de Google o Facebook. Al seleccionar esta opción, la aplicación abre una página de inicio de sesión de Google o Facebook dentro de sí misma utilizando WebView. En este punto, si el gestor de contraseñas se activa para autocompletar las credenciales, existe la posibilidad de que estas sean expuestas a la aplicación maliciosa en lugar de rellenar solo los campos de la página de inicio de sesión de Google o Facebook cargada.
Impacto en los gestores de contraseñas populares
La vulnerabilidad de Autospill ha afectado significativamente a varios de los gestores de contraseñas más populares en Android. Los investigadores realizaron pruebas exhaustivas para demostrar cómo esta vulnerabilidad podía ser explotada en aplicaciones concretas, incluyendo a 1Password, LastPass, Keeper y Enpass.
- 1Password: En el caso de 1Password, se encontró que era susceptible a la vulnerabilidad de Autospill. Sin embargo, la empresa reconoció el problema y ha estado trabajando en una solución para mitigar la exposición de credenciales causada por esta vulnerabilidad. La compañía ha diseñado su función de autocompletar para requerir una acción explícita del usuario, y su actualización promete proporcionar protección adicional.
- LastPass: LastPass también fue probado y se descubrió que era vulnerable a Autospill. La empresa respondió afirmando que ya tenía medidas de mitigación en su lugar, incluyendo una advertencia emergente dentro del producto cuando detectaba un intento de explotar la vulnerabilidad. Después del descubrimiento de Autospill, LastPass actualizó la advertencia para ser más informativa.
- Keeper: Keeper respondió a las preocupaciones sobre Autospill señalando que tiene salvaguardias para proteger a los usuarios contra el llenado automático de credenciales en aplicaciones o sitios no autorizados explícitamente. Aunque no confirmaron arreglos específicos para Autospill, argumentaron que ya contaban con mecanismos de seguridad robustos.
- Enpass: En el caso de Enpass, se demostró que era vulnerable a Autospill. A pesar de los intentos de contacto por parte de los investigadores y medios, no se proporcionó una respuesta clara sobre las medidas de mitigación o actualizaciones para abordar el problema de Autospill.
Los investigadores realizaron pruebas en estos gestores de contraseñas en dispositivos Android actualizados, encontrando que la mayoría eran vulnerables a la fuga de credenciales, incluso con la inyección de JavaScript deshabilitada. Con la inyección de JavaScript habilitada, todos los gestores de contraseñas probados eran susceptibles a Autospill.
Recomendaciones de seguridad ante la vulnerabilidad Autospill
Dada la seriedad de la vulnerabilidad Autospill en los gestores de contraseñas en Android, es crucial tomar medidas para proteger tus credenciales y tu información personal. Aquí te ofrezco una serie de recomendaciones de seguridad:
- Actualizar aplicaciones y Sistema Operativo: Mantén tu dispositivo Android y tus aplicaciones, especialmente los gestores de contraseñas, actualizados. Las actualizaciones suelen incluir parches para vulnerabilidades recientemente descubiertas.
- Estar atento a las aplicaciones instaladas: Sé cuidadoso con las aplicaciones que descargas e instala. Prefiere aplicaciones de fuentes confiables como Google Play Store y evita instalar aplicaciones de fuentes desconocidas.
- Usar la autenticación de dos factores (2FA): Donde sea posible, habilita la autenticación de dos factores. Esto añade una capa adicional de seguridad, asegurando que incluso si tus credenciales son comprometidas, el acceso a tus cuentas será más difícil.
- Revisar los ajustes de autofill: Si estás utilizando un gestor de contraseñas en Android, revisa sus ajustes. Algunos gestores permiten configurar alertas o restricciones en el autocompletado, lo que puede aumentar la seguridad.
- Uso cauteloso del autocompletado: Sé cauteloso al usar la función de autocompletado en aplicaciones y sitios web. Verifica siempre que estés ingresando tus credenciales en el sitio web o aplicación correcta.
Como veis, nunca estamos a salvo al 100%.