AutoSpill. Este es el nombre con el que se ha bautizado una nueva vulnerabilidad encontrada en el ecosistema de Google, incluyendo todos los dispositivos Android. Se ha detallado recientemente en el evento Black Hat Europe, y no es ninguna broma: permite acceder a los datos que guardan los gestores de contraseñas.
Y aunque los principales afectados sean los usuarios de Android, nunca podemos descartar al 100% que esta vulnerabilidad nos pille de rebote. Vamos a ver en qué consiste este nuevo agujero de seguridad y lo que podemos hacer para reforzarnos desde el iPhone.
La mayoría de gestores de contraseñas más usados, vulnerables
El nombre AutoSpill se basa en la función de autorrelleno de contraseñas, autofill en inglés. Es lo que precisamente permiten todos los gestores de contraseñas: rellenar automáticamente las credenciales de aquellos servicios que lo requieran para así poder trabajar de forma más cómoda y (teóricamente) más segura.
Sin embargo, este nuevo tipo de ataque consigue capturar los caracteres que se rellenan automáticamente desde un gestor de contraseñas, con lo que se pueden conseguir datos tan sensibles como contraseñas y números de tarjetas de crédito.
La captura se hace a través de la herramienta WebView, usada por gestores como LastPass, EnPass, 1Password o KeePass. Pertenecen a la lista de los gestores más usados en Android. El ataque no necesita siquiera JavaScript, y no deja rastro ante la víctima. El punto débil aparece cuando Android no define bien las responsabilidades de proteger los datos que se han autorrellenado, abriendo la puerta a esta vulnerabilidad bautizada como AutoSpill.
Cómo estar seguros frente a AutoSpill en nuestro iPhone
Lo primero es mantener la calma: esta vulnerabilidad afecta principalmente al ecosistema de Google y a los gestores de contraseñas en Android. Sin embargo, toda precaución para proteger nuestras contraseñas es poca. Y más sabiendo que iOS 17 puede integrarse con las contraseñas que guardamos en su nube.
Una medida que puedes tomar ante esto es asegurarte que estás sincronizando tus contraseñas utilizando el llavero de iCloud, y no el servicio de Google. Puedes hacerlo siguiendo estos pasos:
- En tu iPhone, abre Ajustes.
- Entra en 'Contraseñas'.
- Entra en 'Opciones de las contraseñas'.
- En la sección 'Usar contraseñas y llaves de acceso', desactiva la opción 'Google' si la tienes presente. Prioriza la opción 'Contraseñas y llavero de iCloud' si así lo prefieres.
El llavero de iCloud se protege con medidas biométricas (Face ID o Touch ID), de modo que es prácticamente imposible que alguien termine interceptando los datos de un iPhone si esas opciones están adecuadamente configuradas.
No dudo en que pronto vamos a ver un parche por parte de los desarrolladores de Google y/o Android, pero mientras tanto, lo mejor que puedes hacer es tener cuidado. Especialmente si utilizas un gestor de contraseñas de terceros con un móvil Android.
En Applesfera | Tres formas de gestionar contraseñas en un Mac sin tener que instalar ninguna aplicación
En Applesfera | Hackers chinos han estado robando durante años datos de Apple Pay al mayor fabricante de chips de Europa
Ver 1 comentarios