Skip to main content

¿Tus contraseñas móviles corren peligro en Android?

Imagen utilizada con permiso del titular de los derechos de autor

Si eres de los que guardan y tienen sus contraseñas móviles con algún servicio como LastPass, 1Password o Keeper en Android, entonces tendrás que estar muy atento, ya que una vulnerabilidad de seguridad podría estar poniendo en riesgo a tu celular.

La vulnerabilidad, denominada «AutoSpill», puede exponer las credenciales guardadas de los usuarios de los administradores de contraseñas móviles al eludir el mecanismo seguro de autocompletado de Android, según investigadores universitarios del IIIT Hyderabad, que descubrieron la vulnerabilidad y presentaron su investigación en Black Hat Europe esta semana.

Recommended Videos

Los investigadores, Ankit Gangwal, Shubham Singh y Abhijeet Srivastava, descubrieron que cuando una aplicación de Android carga una página de inicio de sesión en WebView, los administradores de contraseñas pueden «desorientarse» sobre dónde deben apuntar la información de inicio de sesión del usuario y, en cambio, exponer sus credenciales a los campos nativos de la aplicación subyacente, dijeron. Esto se debe a que WebView, el motor preinstalado de Google, permite a los desarrolladores mostrar contenido web en la aplicación sin iniciar un navegador web, y se genera una solicitud de autocompletar.

«Digamos que estás intentando iniciar sesión en tu aplicación de música favorita en tu dispositivo móvil y usas la opción de ‘iniciar sesión a través de Google o Facebook’. La aplicación de música abrirá una página de inicio de sesión de Google o Facebook dentro de sí misma a través de WebView», explicó Gangwal a TechCrunch.

«Cuando se invoca el administrador de contraseñas para autocompletar las credenciales, idealmente, debería autocompletarse solo en la página de Google o Facebook que se ha cargado. Pero descubrimos que la operación de autocompletar podría exponer accidentalmente las credenciales a la aplicación base».

Gangwal señala que las ramificaciones de esta vulnerabilidad, particularmente en un escenario en el que la aplicación base es maliciosa, son significativas. Y añadió: «Incluso sin phishing, cualquier aplicación maliciosa que te pida que inicies sesión a través de otro sitio, como Google o Facebook, puede acceder automáticamente a información sensible».

La plataforma Keeper dijo que «salvaguarda para proteger a los usuarios contra el llenado automático de credenciales en una aplicación no confiable o un sitio que no fue autorizado explícitamente por el usuario», y recomendó que el investigador envíe su informe a Google «ya que está específicamente relacionado con la plataforma Android».

Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Google podría fusionar finalmente Chromebooks y Android
google fusionar chromebooks android pixel tablet

Joe Maring / DT
Google puede estar trabajando para fusionar Chrome OS con su sistema operativo Android para fortalecer la propuesta de valor del software para sus mejores tabletas Android. Mientras circulan rumores sobre la Pixel Tablet 2 de Google, los expertos especulan sobre cómo la marca puede usar futuros dispositivos para competir con el bastión de Apple en el mercado de tabletas con su línea iPad.

Las fuentes le dijeron a Android Authority que Google puede estar más cerca de unificar sus sistemas operativos Android y ChromeOS en beneficio de cerrar esta brecha. Android no solo obtendría características destacadas de ChromeOS, sino que en el futuro, algunos Chromebooks también pueden ejecutarse bajo un sistema operativo Android reinventado, que está más en sintonía con el entretenimiento y la productividad. La fuente agregó que este podría ser un proyecto que tardará varios años en desarrollarse.

Leer más
Google acaba de anunciar Android 16. Aquí está todo lo nuevo
Logo Android 16

No, ese titular no es un error tipográfico. Poco más de un mes después de que Android 15 se lanzara a las masas en octubre, Google ya ha anunciado Android 16 y ha comenzado a lanzar su primera versión beta para desarrolladores de la última versión de Android.

Si esto parece un lanzamiento mucho más temprano de lo habitual, es porque lo es. Por lo general, esperamos que la primera versión beta para desarrolladores de la próxima actualización de Android llegue en febrero. Sin embargo, para Android 16, Google ha adelantado el calendario unos meses y ha lanzado Android 16 Developer Preview 1 a mediados de noviembre.
Por qué Android 16 se lanza mucho antes
DT
Esto plantea una pregunta importante: ¿Por qué el gran cambio en el momento de los lanzamientos? Según Google, debería facilitar (y agilizar) a los desarrolladores la preparación de sus aplicaciones para las nuevas versiones de Android. La compañía dice que el calendario de lanzamiento más temprano se está haciendo para "alinearse mejor con el calendario de lanzamientos de dispositivos en todo nuestro ecosistema, para que más dispositivos puedan obtener la versión principal de Android antes". Queda por ver si esto realmente se traduce en actualizaciones más rápidas de Android, pero ese es el argumento de Google detrás del cambio.

Leer más
Google puede traer de vuelta el Pixelbook, pero no como piensas
google pixelbook premium

Uno de los próximos grandes proyectos de Google podría ser una computadora portátil de gama alta programada para ser el próximo rival de la MacBook Pro.

Un correo electrónico interno obtenido por Android Headlines detalló que Google ha dado luz verde a un proyecto para un dispositivo con nombre en código "Snowy". El correo electrónico sugiere que el dispositivo es una computadora portátil con especificaciones premium similares a la Dell XPS, la Microsoft Surface Laptop, la Samsung Galaxy Chromebook y el mayor competidor de la marca, la MacBook Pro de Apple. Con el proyecto pasado la fase de concepto, es probable que se expanda rápidamente hasta convertirse en un producto viable bajo la línea Pixel.

Leer más