Este artículo apareció originalmente en ZDNet.

Se ha descubierto una vulnerabilidad en el sistema operativo Android de Google que podría permitir a los ciberatacantes capturar en secreto datos de transmisión de Wi-Fi para rastrear a los usuarios.

El miércoles, los investigadores de Nightwatch Cybersecurity dijeron en un aviso de seguridad que el error, CVE-2018-9489, fue descubierto en la programación de manejo de comunicaciones del sistema operativo.

El investigador de Nightwatch Cybersecurity, Yakov Shafranovich, dijo que los dispositivos Android transmiten información sobre el dispositivo del usuario a las aplicaciones que se ejecutan en el sistema. Esta información puede incluir nombres de redes Wi-Fi, BSSID, direcciones IP locales, datos del servidor DNS y direcciones MAC, aunque estas últimas se ofuscaron a través de las API en la versión 6 de Android y posteriores.

VER: Política de respuesta a incidentes (Tech Pro Research)

Al escuchar estos flujos de datos, las aplicaciones pueden capturar la información, a menudo con fines legítimos.

Sin embargo, cuando las aplicaciones maliciosas escuchan a escondidas, pueden dar lugar a la divulgación de información confidencial, y los atacantes pueden atacar las redes Wi-Fi locales o usar direcciones MAC para rastrear dispositivos Android únicos.

También es posible geolocalizar a los usuarios mediante el nombre de la red y el BSSID mediante búsquedas en bases de datos.

“Si bien existen funciones para limitar quién puede leer estos mensajes, los desarrolladores de aplicaciones a menudo no implementan estas restricciones correctamente u ocultan datos confidenciales”, explica el investigador. "Esto conduce a una vulnerabilidad común en las aplicaciones de Android donde una aplicación maliciosa que se ejecuta en el mismo dispositivo puede espiar y capturar mensajes transmitidos por otras aplicaciones".

Android usa "intentos" para la información entre procesos junto con una serie de permisos como protección contra escuchas ilegales o fugas de datos.

El sistema operativo utiliza dos intentos para transmitir información de todo el sistema. Las intenciones son la "acción de cambio de estado de la red" de WifiManager y la "acción de cambio de estado Wi-Fi P2P de WifiP2pManager".

Las aplicaciones pueden acceder a esta información en el dispositivo del usuario y, cuando se accede a través de WifiManager, generalmente se requiere el permiso "Acceder al estado de Wifi". El acceso a los datos de geolocalización normalmente requiere permisos de "acceder a la ubicación precisa" o "acceder a la ubicación aproximada".

VER: Plantilla de política de seguridad de red (Tech Pro Research)

Sin embargo, cuando una aplicación simplemente escucha las transmisiones del sistema, se omiten los permisos necesarios, lo que podría permitir que las aplicaciones no autorizadas y malintencionadas capturen estos datos sin el conocimiento del usuario.

"Debido a que las direcciones MAC no cambian y están vinculadas al hardware, esto se puede usar para identificar y rastrear de manera única cualquier dispositivo Android, incluso cuando se usa la aleatorización de direcciones MAC", dijo Shafranovich. "El nombre de la red y/o el BSSID se pueden usar para geolocalizar a los usuarios a través de una búsqueda en una base de datos como WiGLE o SkyHook".

El equipo probó una variedad de dispositivos Android, todos los cuales demostraron el mismo comportamiento. Sin embargo, en algunos casos, la dirección MAC real no se mostraba en el intent "Acción de estado de la red modificada", pero estaba disponible a través del intent "Acción Wi-Fi P2P modificada por este dispositivo".

Todas las versiones de Android, incluidas las bifurcaciones del sistema operativo, como Kindle FireOS de Amazon, se verían afectadas, lo que podría afectar a millones de usuarios.

La firma de ciberseguridad informó originalmente sus hallazgos a Google en marzo. Tras una investigación que duró varios meses, se asignó un número CVE a la vulnerabilidad y Google desarrolló un parche en julio.

El parche se confirmó a principios de agosto, lo que llevó a la divulgación pública de la vulnerabilidad.

Google ha reparado la falla de seguridad en la última versión del sistema operativo Android, Android P, también conocido como Android 9 Pie.

Sin embargo, el gigante tecnológico no parcheará las versiones anteriores de Android porque corregir la vulnerabilidad "sería un cambio de API que cambiaría el juego", según la firma de seguridad cibernética.

A principios de este mes, Google anunció el lanzamiento de Android 9 Pie, que ya se está implementando para usuarios de Android en dispositivos seleccionados.

Los dispositivos Android fabricados por proveedores como Nokia, Xiaomi y Sony recibirán el sistema operativo actualizado a fines del otoño. La actualización incluye nueva navegación por gestos, temas y configuraciones adaptables para el brillo de la pantalla y la duración de la batería, entre otros.

Se recomienda a los usuarios que puedan actualizar a Android 9 que lo hagan.

ZDNet se ha puesto en contacto con Google con consultas adicionales y se actualizará si recibimos una respuesta.