Skip to main content

¿Tus contraseñas móviles corren peligro en Android?

Imagen utilizada con permiso del titular de los derechos de autor

Si eres de los que guardan y tienen sus contraseñas móviles con algún servicio como LastPass, 1Password o Keeper en Android, entonces tendrás que estar muy atento, ya que una vulnerabilidad de seguridad podría estar poniendo en riesgo a tu celular.

La vulnerabilidad, denominada «AutoSpill», puede exponer las credenciales guardadas de los usuarios de los administradores de contraseñas móviles al eludir el mecanismo seguro de autocompletado de Android, según investigadores universitarios del IIIT Hyderabad, que descubrieron la vulnerabilidad y presentaron su investigación en Black Hat Europe esta semana.

Los investigadores, Ankit Gangwal, Shubham Singh y Abhijeet Srivastava, descubrieron que cuando una aplicación de Android carga una página de inicio de sesión en WebView, los administradores de contraseñas pueden «desorientarse» sobre dónde deben apuntar la información de inicio de sesión del usuario y, en cambio, exponer sus credenciales a los campos nativos de la aplicación subyacente, dijeron. Esto se debe a que WebView, el motor preinstalado de Google, permite a los desarrolladores mostrar contenido web en la aplicación sin iniciar un navegador web, y se genera una solicitud de autocompletar.

«Digamos que estás intentando iniciar sesión en tu aplicación de música favorita en tu dispositivo móvil y usas la opción de ‘iniciar sesión a través de Google o Facebook’. La aplicación de música abrirá una página de inicio de sesión de Google o Facebook dentro de sí misma a través de WebView», explicó Gangwal a TechCrunch.

«Cuando se invoca el administrador de contraseñas para autocompletar las credenciales, idealmente, debería autocompletarse solo en la página de Google o Facebook que se ha cargado. Pero descubrimos que la operación de autocompletar podría exponer accidentalmente las credenciales a la aplicación base».

Gangwal señala que las ramificaciones de esta vulnerabilidad, particularmente en un escenario en el que la aplicación base es maliciosa, son significativas. Y añadió: «Incluso sin phishing, cualquier aplicación maliciosa que te pida que inicies sesión a través de otro sitio, como Google o Facebook, puede acceder automáticamente a información sensible».

La plataforma Keeper dijo que «salvaguarda para proteger a los usuarios contra el llenado automático de credenciales en una aplicación no confiable o un sitio que no fue autorizado explícitamente por el usuario», y recomendó que el investigador envíe su informe a Google «ya que está específicamente relacionado con la plataforma Android».

Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Android 15 ha llegado a un punto de inflexión
Android 15

Google finalmente está impulsando Android 15 para el Proyecto de código abierto de Android (AOSP), marcando un hito crucial cuando las empresas comienzan a preparar sus respectivas experiencias de software para sus teléfonos inteligentes y los desarrolladores comienzan a ajustar sus aplicaciones. En cuanto a un lanzamiento público, la versión pública estable de Android 15 se lanzará para teléfonos Pixel compatibles en las próximas semanas.

Android 15 también llegará a "dispositivos de Samsung, Honor, iQOO, Lenovo, Motorola, Nothing, OnePlus, Oppo, Realme, Sharp, Sony, Tecno, Vivo y Xiaomi en los próximos meses", dice Google. Si tienes un teléfono Pixel, puedes instalar la actualización Android 15 QPR1 Beta para hacerte una idea de lo que está por venir.

Leer más
Desbloquea funciones ocultas de Android con los códigos USSD

El USSD (Servicio Suplementario de Datos no Estructurados, por sus siglas en inglés) es un protocolo de interfaz de usuario que permite el envío de datos a través de redes móviles GSM en tiempo real, de manera similar a los SMS. A esto también se le conoce como “códigos de función” y permiten desbloquear acciones ocultas en tu teléfono inteligente.

Para ejecutar cualquier código de función de Android, debes ingresarlo directamente en el marcador del teléfono. Si lo ingresas de manera correcta, el código devolverá una respuesta automáticamente, de otro modo, puedes presionar el botón Llamar luego de teclearlo. De cualquier forma, aquí tienes los principales códigos USSD de Android que debes saber.

Leer más
Galaxy A55 vs Galaxy S23 FE: ¿cuál es mejor?
galaxy a55 vs s23 fe cual es mejor

Tenemos uno de los duelos más atractivos del año. Enfrentamos a uno de los contendientes —un favorito, más bien— a la corona de la gama media 2024 con la propuesta del Galaxy S23 FE, con la que Samsung busca hacer más accesible su gama alta. Tal cual, el gama alta top de Samsung contra su mejor gama media. En esta comparativa del Galaxy A55 vs Galaxy S23 FE te diremos cuál es mejor.
Galaxy A55 vs Galaxy S23 FE: características y especificaciones

Samsung Galaxy A55
Samsung Galaxy S23 FE

Leer más