Una vulnerabilidad en
el sistema operativo móvil Android, relativa a los procesos de comunicación
entre aplicaciones, permite que programas maliciosos instalados en el
dispositivo consigan información sobre la localización de este a partir de la
red WiFi a la que se conecta, su dirección IP o la dirección física y única del
terminal (MAC).
Los dispositivos
comparten información sobre el usuario con las aplicaciones que están
instaladas en ellos. Se trata de información relativa a la red WiFi a la cual
se está conectado, la dirección física única del punto de acceso al que se
conecta el teléfono (BSSID), la dirección IP del dispositivo, información de
los servidores DNS y la dirección física y única del dispositivo (MAC).
Esta información
normalmente se comparte con fines legítimos, pero si una aplicación maliciosa
está instalada en el móvil, puede 'escuchar' estas comunicaciones, con lo que
tendrá acceso a información específica del teléfono, relativa a la red WiFi o a
la ubicación del mismo. Incluso se puede geolocalizar al usuario recurriendo a
bases de datos de BSSID, como explica la consultoría Nightwatch Cybersecurity
en su blog.
La dirección MAC es
un código propio que no se puede cambiar por lo que al conseguirla se descubre
dónde se encuentra un dispositivo en concreto. A partir de Android 6 esta
información ya no está visible a través de la Interfaz de Programación de
Aplicaciones (API), aunque mediante las escuchas entre procesos es posible
acceder a estos datos. La información sobre redes a la que se accede también da
la posibilidad de atacar la red WiFi a la que el aparato se conecta.
Google ha corregido
esta vulnerabilidad en Android 9 Pie, por lo que insta a que los usuarios
actualicen a la última versión de Android. Sin embargo, esta versión no es
compatible con todos los dispositivos Android en uso.
Fuente: Europa Press