Los gestores de contraseñas son una forma cómoda de almacenar y generar contraseñas seguras, pero también pueden ser vulnerables a ataques. Investigadores han descubierto un nuevo exploit llamado ‘AutoSpill’ que afecta a ciertos gestores de contraseñas en dispositivos Android. Este exploit aprovecha el uso de WebView en las aplicaciones de Android para obtener las credenciales de acceso de los usuarios. Algunos gestores de contraseñas dependen de WebView para introducir automáticamente las credenciales de acceso en servicios como Google, Facebook y Microsoft. Los investigadores han demostrado que es posible obtener las contraseñas almacenadas en estos gestores de contraseñas, incluso sin inyectar código JavaScript. AutoSpill se aprovecha de las lagunas en el autocompletado de Android, permitiendo que una aplicación maliciosa intercepte las credenciales del usuario sin dejar rastro. Los gestores de contraseñas afectados incluyen 1Password, LastPass, Enpass, Keeper y KeePass2Android. Los investigadores han informado a las empresas y al equipo de seguridad de Android sobre este problema y han proporcionado sugerencias para solucionarlo. Aunque la mayoría de las empresas ya han tomado medidas para abordar este problema, es importante que los usuarios estén atentos y eviten descargar aplicaciones maliciosas que puedan comprometer la seguridad de sus contraseñas.
