Cualquier smartphone con una versión anterior a Android Pie puede ser geolocalizado gracias a una nueva vulnerabilidad
Un informe de investigación de la firma Nightwatch Cybersecurity ha revelado el descubrimiento de una nueva vulnerabilidad de Android.
El fallo permite a las aplicaciones saltarse los permisos para acceder a la información de los broadcasts del sistema. Esto incluye el nombre de la red Wi-Fi utilizada por el dispositivo, el BSSID, la dirección MAC del dispositivo, la información del servidor DNS y las direcciones IP locales.
Con esta información, una aplicación maliciosa podría geolocalizar y rastrear cualquier dispositivo Android hasta la dirección de una calle.
Los broadcasts del sistema de Android OS exponen información sobre el dispositivo del usuario a todas las aplicaciones que se ejecutan en el dispositivo. Esto incluye el nombre de la red WiFi, el BSSID, las direcciones IP locales, la información del servidor DNS y la dirección MAC.
Parte de esta información (dirección MAC) ya no está disponible a través de APIs en Android 6 y superior, y normalmente se requieren permisos adicionales para acceder al resto de esta información. Sin embargo, al escuchar estos broadcasts, cualquier aplicación en el dispositivo puede capturar esta información y pasar por alto cualquier verificación de permisos y mitigaciones existentes
La buena noticia es que Google aparentemente arregló el fallo con Android 9.0 Pie. La mala noticia es que menos del 0,1% de los usuarios de Android están ejecutando la última versión de Android en sus teléfonos. Nightwatch Cybersecurity dice que Google no planea arreglar este defecto en versiones anteriores del sistema operativo.
No sólo los dispositivos Android más antiguos que ejecutan versiones anteriores a Pie son vulnerables a este defecto, sino que los dispositivos que funcionan con un fork de Android también están expuestos a este ataque.
Las tabletas Fire de Amazon llevan el sistema operativo de código abierto de Google, que se basa en aplicaciones y contenido de Amazon en lugar de Google.