AutoSpill. Este es el nombre con el que se ha bautizado una nueva vulnerabilidad encontrada en el ecosistema de Google, incluyendo todos los dispositivos Android. Se ha detallado recientemente en el evento Black Hat Europe, y no es ninguna broma: permite acceder a los datos que guardan los gestores de contraseñas.

Y aunque los principales afectados sean los usuarios de Android, nunca podemos descartar al 100% que esta vulnerabilidad nos pille de rebote. Vamos a ver en qué consiste este nuevo agujero de seguridad y lo que podemos hacer para reforzarnos desde el iPhone.

La mayoría de gestores de contraseñas más usados, vulnerables

El nombre AutoSpill se basa en la función de autorrelleno de contraseñas, autofill en inglés. Es lo que precisamente permiten todos los gestores de contraseñas: rellenar automáticamente las credenciales de aquellos servicios que lo requieran para así poder trabajar de forma más cómoda y (teóricamente) más segura.

Sin embargo, este nuevo tipo de ataque consigue capturar los caracteres que se rellenan automáticamente desde un gestor de contraseñas, con lo que se pueden conseguir datos tan sensibles como contraseñas y números de tarjetas de crédito.

La captura se hace a través de la herramienta WebView, usada por gestores como LastPass, EnPass, 1Password o KeePass. Pertenecen a la lista de los gestores más usados en Android. El ataque no necesita siquiera JavaScript, y no deja rastro ante la víctima. El punto débil aparece cuando Android no define bien las responsabilidades de …