imágenes falsas
Probablemente ya hayas oído hablar de una vulnerabilidad llamada AutoSpill, que puede filtrar credenciales de cualquiera de los siete principales administradores de contraseñas para Android. La amenaza que representa es real, pero también es más limitada y más fácil de contener de lo que ha reconocido gran parte de la cobertura hasta la fecha.
Estas preguntas frecuentes profundizan en los muchos matices que hacen que AutoSpill sea difícil de entender para la mayoría de las personas (incluido el tuyo). Esta publicación no hubiera sido posible sin la invaluable ayuda de Alejandro Ortizun investigador que descubrió una vulnerabilidad similar en Chrome en 2020.
P: ¿Qué es el AutoSpill?
A: Si bien gran parte de la cobertura de prensa sobre AutoSpill lo ha descrito como un ataque, es más útil verlo como un conjunto de comportamientos inseguros que ocurren dentro del sistema operativo Android cuando una credencial almacenada en un administrador de contraseñas se completa automáticamente en una aplicación instalada en el dispositivo. Este comportamiento inseguro expone las credenciales que se completan automáticamente en la aplicación de terceros, que puede ser prácticamente cualquier tipo de aplicación siempre que acepte credenciales para iniciar sesión en una cuenta del usuario.
Los administradores de contraseñas afectados de una forma u otra incluyen Google Smart Lock, Dashlane, 1Password, LastPass, Enpass, Keepass2Android y Keeper. Otros administradores de contraseñas también pueden verse afectados ya que los investigadores que identificaron AutoSpill limitaron su consulta a estos siete títulos.
AutoSpill fue identificado por los investigadores Ankit Gangwal, Shubham Singh y Abhijeet Srivastava del Instituto Internacional de Tecnología de la Información en Hyderabad, India. Presentaron sus hallazgos la semana pasada en la conferencia de seguridad Black Hat en Londres.
P: Si la aplicación de terceros permite o requiere que un usuario inicie sesión en una cuenta, ¿por qué es un problema que la contraseña se complete automáticamente desde un administrador de contraseñas?
A: Es sólo un problema en ciertos escenarios. Una es cuando la aplicación de terceros permite a los usuarios iniciar sesión en una cuenta utilizando las credenciales de una cuenta diferente. Por ejemplo, cientos de aplicaciones y sitios utilizan un estándar conocido como OAuth para ofrecer a los usuarios la comodidad de iniciar sesión en sus cuentas utilizando las credenciales de sus cuentas en sitios como Google, Facebook o Apple. Un principal punto de venta de estos acuerdos, conocidos como delegación de acceso, es que la aplicación o servicio de terceros nunca ve las credenciales. AutoSpill tiene el potencial de violar esta garantía fundamental.
Otra forma en que una aplicación maliciosa podría explotar AutoSpill sería cargando contenido WebView desde un sitio de un banco u otro servicio en el que el usuario tenga una cuenta. Cuando la aplicación maliciosa carga la página de inicio de sesión del sitio confiable, se le pedirá al usuario que seleccione las credenciales. Si el usuario aprueba el mensaje de autocompletar, las credenciales se completarán no solo en la parte WebView de la aplicación maliciosa sino también en la vista nativa de la aplicación (más sobre la diferencia entre las propiedades de WebView y la vista nativa en un momento). Y dependiendo del administrador de contraseñas que se utilice, este flujo puede ocurrir sin previo aviso.
Es difícil imaginar un pretexto realista que la aplicación maliciosa podría usar para engañar a un usuario para que inicie sesión en una cuenta de terceros no administrada por el desarrollador de la aplicación, y los investigadores de AutoSpill no ofrecieron ninguna. Una posibilidad podría ser una versión maliciosa de una aplicación que transfiere listas de reproducción de canciones de un servicio de música a otro. Aplicaciones legítimas, como GratisTuMúsica o Soundiz, brindan un servicio valioso al analizar una lista de reproducción almacenada en la cuenta de un servicio, como Apple Music, y luego crear una lista de reproducción idéntica para una cuenta en un servicio diferente, como Tidal. Para funcionar como se desea, estas aplicaciones requieren las credenciales de ambas cuentas.
Otra forma en que una aplicación maliciosa podría aprovechar AutoSpill es inyectando JavaScript en el contenido de WebView que copia las credenciales y las envía al atacante. Este tipo de ataques se conocían anteriormente y funcionan en entornos que van mucho más allá de los presentados por AutoSpill.
Lo que no ha quedado claro en parte de la cobertura de AutoSpill es que representa una amenaza solo en estos escenarios limitados, e incluso entonces, expone solo una única credencial de inicio de sesión, específicamente la que se completa automáticamente. AutoSpill no representa una amenaza cuando un administrador de contraseñas completa automáticamente una contraseña para una cuenta administrada por el desarrollador o servicio responsable de la aplicación de terceros; por ejemplo, cuando se completan automáticamente las credenciales de Gmail en la aplicación oficial de Gmail de Google, o las credenciales de Facebook en la aplicación oficial de Facebook. Aplicación Android.