Miles de contraseñas guardadas en móviles Android podrían haberse filtrado por esta brecha de seguridad

A medida que los sistemas operativos han ido incorporando gestores de contraseñas, los usuarios hemos tendido a confiar en ellos y despreciar cualquier otra alternativa para guardar las mismas. Ahora, parece que podríamos estar en peligro. Al menos, los usuarios de Android. Te contamos todos los detalles.

Los gestores de contraseñas se han convertido, para muchos, en una de las funcionalidades más utilizadas de nuestro sistema operativo. Gracias a que todos los datos se guardan en la nube, nos hemos acostumbrado a que cualquier contraseña que introducimos desde nuestro ordenador, automáticamente se encuentre disponible en nuestro teléfono móvil o tableta. Pese a que la mayoría de la mayoría de las herramientas cuentan con los protocolos de seguridad más avanzados, en ocasiones se identifican brechas de seguridad que pueden comprometer nuestros datos más críticos.

Recientemente, se ha detectado que varios administradores de contraseñas podrían estar divulgando las mismas a consecuencia de una vulnerabilidad que afecta a la funcionalidad de autocompletar las aplicaciones de Android, que recibe el nombre de “AutoSpill”. Esta brecha de seguridad ha sido descubierta por investigadores del IIIT Hyderabad y, como consecuencia, podrá haber afectado a miles de usuarios en todo el mundo.

Solo afecta a los móviles Android

La situación se produce por el propio flujo de datos que integra Android a la hora de introducir contraseñas. Los investigadores han puesto como ejemplo cuando queremos iniciar sesión en una aplicación utilizando nuestras credenciales de Google, por ejemplo. La aplicación de música abre una nueva ventana en la que debemos introducir las credenciales de Google y cuando utilizamos un gestor de contraseñas para autocompletar estas credenciales, la contraseña debería mostrarse únicamente en la aplicación que va a servir de llave de acceso. En este caso, Google.

Sin embargo, en este proceso se ha detectado una brecha de seguridad que provoca que, en ocasiones, las contraseñas también se muestren en la aplicación base. En este caso, la app de música. Los investigadores han manifestado que, incluso sin realizar ningún ataque de phishing, cualquier aplicación maliciosa que quiera captar los datos de sus usuarios, podría hacerlo sin necesidad de realizar ningún ataque demasiado desarrollado.

La mayoría de gestores de contraseñas

Según han afirmado los miembros que han participado en la investigación, se ha probado esta vulnerabilidad en los principales administradores de contraseñas. Entre ellos, LastPass, Enpass, 1Password o Keeper. Y en la mayoría de estas aplicaciones se ha detectado que la mayoría de ellas eran vulnerables a sufrir esta fuga de datos. Por lo que se trataría de un problema bastante generalizado.

Cuando se ha puesto esta información en manos de los gestores mencionados previamente, la respuesta ha sido diversa. Mientras que 1Password afirmó al medio TechCrunch que la compañía había identificado el problema y que estaba trabajando en una solución, otras herramientas como Keeper contradijeron el estudio, dando a entender que se había manipulado la aplicación para poder llegar a obtener ese resultado. El resto de las aplicaciones, todavía no se han pronunciado al respecto, tampoco la propia Google, propietaria de Android, el sistema operativo afectado. Mientras tanto, tendremos que permanecer atentos a posibles nuevas actualizaciones en las aplicaciones de gestión de contraseñas para minimizar las posibilidades de vernos afectados por ellas.

Fuente: TechCrunch | adslzone