Se ha documentado un reporte de seguridad que detalla una vulnerabilidad de divulgación de información en la aplicación Google Password Manager para dispositivos Android. El informe demuestra cómo las contraseñas visualizadas en texto plano pueden quedar expuestas a través de la vista de “Aplicaciones Recientes” (Task Switcher), lo que permite a un atacante local evadir la autenticación biométrica secundaria de la propia aplicación.
A pesar de la evidencia proporcionada, se ha clasificado el reporte con el estado de “No se solucionará” (Won’t fix), argumentando que este comportamiento funciona según lo previsto (Intended behavior).
Anatomía del Problema
El fallo reportado radica en el manejo del estado de la pantalla cuando la aplicación pierde el foco o pasa a segundo plano, fallando en aplicar medidas de seguridad del sistema operativo (como FLAG_SECURE) para ocultar los datos sensibles antes de que se capture la pantalla. La secuencia de exposición comprobada es la siguiente:
- Un usuario se autentica de forma exitosa mediante biometría (huella dactilar o reconocimiento facial) para visualizar una contraseña guardada en texto plano.
- Posteriormente, el usuario minimiza la aplicación y se dirige a la pantalla de inicio o a otra aplicación.
- Si un usuario malintencionado abre la vista de “Aplicaciones Recientes”, la aplicación de contraseñas solicita nuevamente la autenticación biométrica para ingresar.
- Sin embargo, la contraseña en texto plano permanece completamente visible en la previsualización de fondo (background/preview) detrás del mensaje de solicitud biométrica.
- Esta información se puede leer incluso si el control de seguridad falla o es cancelado.
Impacto y Escenario de Ataque
El investigador sustentó el impacto del fallo basándose en el “Modelo de Amenaza A02” establecido por la Oficina Federal de Seguridad de la Información de Alemania (BSI), el cual contempla específicamente a un “Atacante con acceso temporal al dispositivo desbloqueado”.
- Ataque de “Teléfono Prestado”: Si la víctima deja el teléfono desbloqueado sobre una mesa por un momento o se lo presta a un tercero, el atacante puede abrir rápidamente el administrador de tareas y leer las contraseñas altamente confidenciales sin necesidad de pasar el control biométrico.
- Esta exposición derrota la barrera de seguridad secundaria implementada por la aplicación, creando una falsa sensación de seguridad para el usuario.
Resolución y Recomendaciones
Dado que el caso fue cerrado de forma definitiva y no existe una actualización de seguridad planificada para mitigar este comportamiento, los usuarios deben aplicar medidas compensatorias para proteger sus credenciales:
- Ocultar Contraseñas Manualmente: Es fundamental asegurarse de revertir la vista de las contraseñas al estado enmascarado (oculto por puntos) de forma manual antes de salir o minimizar la aplicación Google Password Manager.
- Bloqueo de Dispositivo: Fomentar el hábito de bloquear la pantalla del teléfono inmediatamente cuando no se esté utilizando en las manos, reduciendo drásticamente la ventana de oportunidad para ataques de acceso físico.
