Versiones antiguas de Android podrían estar revelando la verdadera identidad del propietario del teléfono
Un investigador de origen belga, concretamente, Arne Swinnen, ha ayudado a Google para solucionar un problema de seguridad existente en las versiones anteriores a la 7.0 de su sistema Android.
Este agujero de seguridad existente en las versiones anteriores del sistema operativo permitía a los atacantes «entrar» de tal manera en el dispositivo y recopilar los suficientes datos del mismo y de sus aplicaciones incluso para determinar quién era el propietario real del dispositivo. Swinnen es un conocido experto en seguridad que ya se ha encargado, por ejemplo, de detectar errores similares en plataformas como Facebook.
Pues bien, en Android descubrió un problema existente en los permisos utilizados por el sistema de archivos y carpetas que se usaban para limitar el acceso a determinados datos personales almacenados en las carpetas de las aplicaciones instaladas. Por ello el investigador afirma que un atacante, utilizando una aplicación maliciosa propia que instalaría en el aparato, podría utilizar varios comandos de Android para modificar el directorio de trabajo de su malware por la carpeta de cualquier otra herramienta.
Este problema venía dado por un error en la asignación de permisos de Android, fallo que permitía al atacante acceder al directorio y ejecutar archivos, aunque para ello la aplicación maliciosa tendría que conocer la ruta exacta del archivo a ejecutar.
Identidad real en peligro
Por ejemplo, esto se usaba habitualmente en la aplicación YouTube para Android, que utiliza el archivo youtube.xml situado en la carpeta “/data/data/com.google.android.youtube/shared_prefs/” para almacenar los datos procesados por la misma herramienta en tiempo real. El propio atacante podría acceder varias veces a este archivo para obtener su tamaño y fecha de última modificación, ya que YouTube actualiza este archivo cada pocos segundos cuando el software está en uso, por lo que el malware podría supervisarlo y determinar el momento en el que el dispositivo está en uso.
Del mismo modo otras herramientas cuentan con archivos similares almacenados en otras secciones de su estructura interna, por lo que el ataque podría acceder a cualquier de ellas. Así, usando este método, aplicaciones como Instagram o Facebook podría revelar el nombre verdadero del propietario del teléfono. En el caso de Instagram este archivo está ubicado en “/data/data/com.instagram.android/shared_prefs/.xml”, mientras que en Facebook sería “/data/data/com.facebook.katana/shared_prefs/XStorage-LATEST-.xml”.
Una vez que el investigador informó del fallo a Google, la firma puso manos a la obra para solucionarlo en la versión 7.0 de su sistema.