La vulnerabilidad AutoSpill de los gestores de contraseñas Android expone los datos de inicio de sesión

En la Black Hat Europe 2023 conferencia de seguridad, investigadores del Instituto de Tecnología de la Información de la India https://www.iiit.ac.in/ presentaron una nueva vulnerabilidad denominada 'AutoSpill'. Debido a una brecha en el módulo Android WebView, basado en el navegador Chrome y utilizado para introducir contraseñas en las aplicaciones, las aplicaciones maliciosas pueden, en teoría, acceder a los datos del gestor de contraseñas de forma inadvertida.

Si un gestor de contraseñas introduce automáticamente los datos de acceso mediante autorrelleno, los datos de acceso pueden insertarse en los campos de datos de la app subyacente en WebView en lugar de en el sitio web. En este caso, la propia app puede leer simplemente los datos de acceso, que en realidad sólo deberían insertarse en la página de acceso dentro de WebView.

Esto significa que en este caso no es necesario el phishing, es decir, mostrar un sitio web falso con campos de nombre de usuario y contraseña, sino que se muestra la página de inicio de sesión real de un servicio de Internet. La vulnerabilidad de seguridad se ha probado con gestores de contraseñas como Android's own Google Smart Lock, así como con las aplicaciones de terceros 1Password, Dashlane, Enpass, LastPass, Keepass2Android y Keeper.

Según los investigadores de , la vulnerabilidad 'AutoSpill' se produce en las versiones 10, 11 y 12 de Android y puede explotarse incluso con JavaScript desactivado en todos los gestores de contraseñas (a excepción de Google Smart Lock y Dashlane). Si JavaScript está activado, todos los gestores de contraseñas mencionados se ven afectados por la brecha de seguridad.