Detectan un nuevo bug en Android que permite geolocalizar usuarios
Malas noticias para los usuarios Android. Nightwatch Cybersecurity, una consultora de seguridad informática, ha detectado un bug que afecta a todas las versiones de Android (excepto a Android 9.0 Pie), forks incluidos (véase Fire OS de Amazon), que permite gelocalizar a los usuarios. La vulnerabilidad, detectada en la "forma en la que Android transmite la información del dispositivo a las aplicaciones instaladas en el mismo", expone la dirección MAC, BSSID, IP local e información del DNS, lo que permitiría a una app maliciosa descubrir la ubicación real del usuario.
Según recogen los chicos de la consultora, "parte de esta información (como la dirección MAC) ya no está disponible a través del API en Android 6.0 Marhsmallow y superior, y normalmente se requieren permisos adicionales para acceder a ella. Sin embargo, al escuchar estas transmisiones, cualquier aplicación en el dispositivo puede capturar estos datos, evitando así cualquier control de permisos y restricciones existentes".
En pocas palabras, dado que la dirección MAC no cambia y está vinculada al dispositivo, se puede usar para identificar y rastrear el dispositivo cruzándola con el nombre de la red y el BSSID. Tal y como dice el investigador de la firma, Yakov Shafranovich, "las aplicaciones maliciosas pueden usar esta información de red para explorar y atacar la red WiFi local" para, por ejemplo, rastrear las webs que visitas. A partir de Android Marhsmallow, la dirección MAC del dispositivo se randomiza, aunque esta vulnerabilidad permite saltarse esta medida de seguridad.
Cruzando la dirección MAC con la información de la red WiFi se puede localizar y rastrear al usuario.
De acuerdo a Nightwatch Security, Google ha implementado un parche para esta vulnerabilidad en Android 9.0 Pie, "pero no planea reparar versiones anteriores". De esa forma, la firma anima a todos los usuarios a actualizar a Android Pie en cuanto esté disponible, pero todos sabemos que las actualizaciones en Android son muy lentas y que pueden pasar meses hasta que un terminal reciba su ración de Pie.
Fuente: Nightwatch Security vía Duo
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.