I am Spanish and my English is not very advanced, so first try to explain the problem in English, and then in Spanish. If you have any questions, please contact me.

Hello, I discovered a problem in google Chrome on the system that autocomplete the passwords and make the login faster. It is a problem that affects the Google Pixel, but also ALL android devices in the market, as well as all Google Chrome browsers, since the error is in this application, AND THROUGH THIS ERROR YOU CAN DISCOVER ALL THE PASSWORDS SAVED ON GOOGLE CHROME.

I pray that if it is not on this page
The first thing I want to inform you is that I am neither a computer nor a developer, so the explanations can not be technical or Java level, code or similar, I only raise the problem, and I hope to participate in your program benefits. Find mistakes as they are in one, and may be the biggest they have found.
Go for it:

As I said, the problem lies in the autocomplete system of passwords. Google chrome, in the moment that it locates you in the web of a domain where you have saved a password, it tells you if you want to "use password for" and you will see the different email or user names that you have saved in that page . In case you accept, you enter the password in a hidden way, through points, so that in fact the password does not see. And this is where the problem comes from.

If you use this system in a registration page of a web where you have already saved a password, and therefore you are already a user of the same (as if you were to create a second account in the same site) Google Chrome follows you Putting the autocomplete mode, and entering the password in a hidden way, but these pages, always make you enter the password 2 times telling you whether the passwords match or not. SO, YOU CAN USE THIS SYSTEM TO DISCOVER THE PASSWORDS SAVED ON THE COMPUTER, WHY YOU CAN ENTER IN SPACE TO REPEAT PASSWORD ALL THE PASSWORDS YOU WANT, AND AT THE MOMENT IN WHICH YOU COINCIDE WITH THE ORIGINAL, YOU GIVE AN OK. That is, use is brute force system to discover the passwords without any limit of attempts.

This system also works with auto-complete not only the password but also the email.

In case it has not been clear, I attach some videos, discovering the GMAIL password saved in my google chrome, and the Paypal page (I have chosen this one because of the importance, but it can be done in all).

The solutions could be 2:
1) Do not allow autocomplete function in google chrome on the log pages, which usually use the system www.pagineweb.com/singup
2) Only the autocomplete function works on the page in which the password has been used for the first time only, so that when you go to the registration page, you can no longer use it
....................................................................................................................................................................


Hola, he descubierto un problema en google Chrome en el sistema que de autocompletar las contraseñas y hacer mas rapido los inicio de sesion. Es un problema que afecta a los Google Pixel, pero también a TODOS los dispositivos android en el mercado, así como todos los navegadores de google Chrome, ya que el error se encuentra en esta aplicación, Y A TRAVÉS DE ESTE ERROR PUEDES DESCUBRIR TODAS LAS CONTRASEÑAS GUARDADAS EN  GOOGLE CHROME.

Ruego que si no es en esta página
Lo primero que quiero informarles es que no soy un informático ni un desarrollador, por lo que las explicaciones no podrán ser técnicas ni a nivel de Java, codigo o similares, únicamente les planteo el problema, y espero poder participar en su programa de beneficios por encontrar errores, ya que este en uno, y puede ser de los mas grandes que hayan encontrado. 
Vamos a ello:

Como les he dicho, el problema se encuentra en el sistema de autocompletar contraseñas. Google chrome, en el momento en el que te localiza en la web de un dominio donde tú has guardado un contraseña, te dice si quieres "utilizar contraseña para" y te aparecen los diferentes email o nombres de usuario que tu has guardado en esa pagina. EN caso de que aceptes, te introduce la contraseña de una manera oculta, a través de puntos, de manera que en realidad la contraseña no ve. Y aquí es donde viene el problema. 

SI utilizas este sistema en una pagina de registro de una web en la que ya has guardado una contraseña, y por lo tanto seas ya usuario de la misma ( como si te fuera a crear una segunda cuenta en un mismo sitio) Google Chrome te sigue poniendo el modo autocompletar, e introduciendo la contraseña de manera oculta, pero estas páginas, siempre te hacen introducir la contraseña 2 veces diciendote si las contraseñas coinciden entre si o no. ASÍ, SE PUEDE UTILIZAR ESTE SISTEMA PARA DESCUBRIR LAS CONTRASEÑAS GUARDADAS EN EL ORDENADOR, POR QUE PUEDE INTRODUCIR EN ESPACIO DE REPETIR CONTRASEÑA TODAS LAS CONTRASEÑAS QUE QUIERAS, Y EN EL MOMENTO EN EL QUE COINCIDE CON LA ORIGINAL, TE PONE UN OK. Es decir, utilizar es sistema de fuerza bruta para descubrir las contraseñas sin ningun limite de intentos.

Este sistema también funciona con la funciona de autocompletar no solo la contraseña sino también el email.

Por si no les ha quedado claro, les adjunto unos videos, descubriendo la contraseña de GMAIL guardada en mi google chrome, y en la pagina de Paypal (he elegido esta por la importancia, pero se puede hacer en todas).

Las soluciones podrían ser 2:
1 )no permitir la función de autocompletar en google chrome en la páginas de registrar, que habitualmente utilizan el sistema www.pagineweb.com/singup
2) Que únicamente funcione la funcion de autocompletar en la página en la cual se ha utilizado por primera vez la contraseña, únicamente en ella, de manera que cuando se acuda a la página de registrarse, ya no podrá utilizarse.


 

Deleted: prueba gmail .mp4 5.8 MB

	prueba gmail .mp4 5.8 MB View Download

Deleted: prueba paypal PC .mp4 2.6 MB

	prueba paypal PC .mp4 2.6 MB View Download

Deleted: paypal android.mp4 2.6 MB

	paypal android.mp4 2.6 MB View Download