Vulnerabilidad en Universal Windows Platform de Windows 10

Este nuevo error de seguridad podría permitir que desarrolladores maliciosos accedan a los archivos de los usuarios

Microsoft ha solucionado una vulnerabilidad en la actualización de Windows 10 de octubre de 2018 casi en secreto pues, acorde a expertos en ciberseguridad y forense digital del Instituto Internacional de Seguridad Cibernética, actualizaciones anteriores no informaba a los usuarios cuando las aplicaciones solicitaban permiso para acceder a todos los archivos de un usuario.

El error en la API ‘broadFileSystemAccess’ de Windows podría haber dado a un desarrollador malintencionado de Universal Windows Platform (UWP) acceso a todos los documentos, fotos, descargas y archivos de un usuario almacenados en OneDrive.

El incidente fue detectado por el experto en forense digital Sébastien Lachance, quien creó una aplicación empresarial que colapsó repentinamente en la actualización de Windows 10 de octubre de 2018, también conocida como Build 1809; esta versión de la actualización se encuentra actualmente en espera de que Microsoft finalice las pruebas de corrección del bug de pérdida de datos.

Regularmente, las aplicaciones UWP están restringidas a ciertas ubicaciones de carpetas, pero los desarrolladores también pueden solicitar acceso a otras ubicaciones, siempre que el usuario otorgue permiso a la aplicación.

Tal como Microsoft señala, la API broadFileSystemAccess brinda acceso a todos los archivos a los que un usuario tiene acceso. Microsoft promovió la función como una forma en que los desarrolladores pudieran hacer que sus aplicaciones UWP fueran más fáciles de usar.

“Esta es una capacidad restringida. En el primer uso, el sistema solicitará al usuario que permita el acceso. El acceso se puede configurar en Configuración> Privacidad> Sistema de archivos”, explica Microsoft. “Si envía una aplicación a la Tienda declarando esta capacidad, deberá proporcionar descripciones adicionales de por qué su aplicación requiere esta capacidad y cómo pretende usarla”.

El problema es que, hasta la versión 1809, los usuarios no recibían la solicitud de permiso y la API podía usarse para acceder al sistema de archivos completo.

Según Lachance, el diálogo está destinado a ser mostrado a un usuario en el primer uso de la aplicación. Microsoft reconoció que se trata de un problema de privacidad y, por lo tanto, desactiva el valor del sistema de archivos de acceso amplio.

Si a los usuarios les preocupa que una aplicación instalada haya obtenido un acceso a un margen de archivos más amplio que el predeterminado, los usuarios pueden limitar ese acceso en Configuración> Privacidad> Archivo.

Acorde a especialistas en forense digital, los desarrolladores que anteriormente utilizaron la API también pueden encontrar que sus aplicaciones UWP ahora se bloquean cuando los usuarios pasan a la versión 1809.