En estos últimos años el uso de los administradores de contraseñas ha crecido de forma exponencial, una forma de evitar tener que recordar las credenciales de acceso a nuestros servicios favoritos, básicamente porque el gestor de contraseñas ya nos ayuda al respecto.
Lo que parecían aplicaciones completamente seguras, no lo son así, y no obstante han encontrado un fallo en el mecanismo de autocompletar de Web View utilizado por muchas aplicaciones de Android.
Lo descubrieron investigadores del Instituto Indio de Tecnología de Hyderabad que denominaron a la falla AutoSpill, que expone de forma automática las credenciales de los administradores de contraseñas y el uso de las medidas de seguridad para la funcionalidad de autocompletar en Android.
En el informe señalan que los gestores de contraseñas pueden desorientarse cuando tienen que completar de forma automática las credenciales dentro de aplicaciones que cargan páginas web utilizando el motor Web View de Google.
Ponen como ejemplo aplicaciones que permiten iniciar sesión a través de la cuenta de Facebook o Google para facilitar el proceso.
El fallo hace que cuando se solicite al administrador de contraseñas que complete las credenciales, lo normal es que las complete automáticamente en los campos correctos de la interfaz, sin embargo, a veces expondrá las credenciales a la aplicación base.
Existe riesgo de que aplicaciones maliciosas que se hagan pasar por aplicaciones legítimas, puedan apoderarse de estas credenciales de los usuarios.
Los investigadores probaron la mayoría de los administradores de contraseñas móviles conocidos y encontraron que casi todos eran vulnerables a la fuga de credenciales, a pesar de deshabilitar la inyección de JavaScript.
Al habilitar la inyección de JavaScript, todos los administradores móviles probados se volvieron susceptibles a este fallo.