Antiguas versiones de Android revelan la identidad del usuario

No cabe duda de que los dispositivos con Android tienen muchas más posibilidades de ser vulnerados, y eso es por el sistema operativo y por la cantidad de usuarios que lo utilizan, haciendo mucho más rentable para un atacante crear un malware específico para enriquecerse. La última vulnerabilidad descubierta hacía posible que un atacante pudiera hasta conseguir el nombre real de una persona al utilizar aplicaciones como Youtube o Instagram.

Arne Swinnen, investigador de seguridad, ha sido galardonado por Google por haber resuelto un fallo de seguridad que permitía a un atacante conseguir el nombre real de una persona haciendo uso de un tipo de malware creado para la ocasión. Este malware, al estar instalado en el terminal, permitía hacer una serie de modificaciones en los privilegios del sistema de archivos.

Este fallo de seguridad permitía a los atacantes acceder al dispositivo, recopilar todo tipo de datos de las apps como Instagram o Youtube y, en definitiva, poder conocer quién era el propietario del teléfono. Esta brecha de seguridad estaba presente en los permisos del sistema de archivos y carpetas, que suelen limitar el acceso por contener información algo más privilegiada.

Con ello, un atacante con una app maliciosa, era capaz de utilizar varios comandos para modificar este sistema de archivos aprovechándose de un error en la asignación de permisos de Android. Con ello, aplicaciones como Youtube o Instagram, que al ser utilizadas van actualizando de forma constante un archivo .xml, podía revelar la información real del usuario como su nombre o incluso las acciones que recientemente había realizado en la aplicación.

Este error sólo estaba presente en versiones anteriores a Android 7.0 Nougat y ya ha sido resuelto.

[Fuente: Softpedia]