Microsoft ha informado a los usuarios y los desarrolladores de la existencia de una vulnerabilidad en algunas aplicaciones móviles Android relacionada con el recorrido de rutas.
Según recoge la web Security Week, el problema estaría vinculado a al componente del proveedor de contenido y su clase 'FileProvider', que permite compartir archivos entre aplicaciones instaladas.
A través de ella, los actores de amenazas pueden tomar el control de las mismas y hacerse con datos confidenciales.
Las apps maliciosas serían capaces de aprovechar la técnica para sobreescribir archivos en el directorio principal de destino, llegando a provocar la ejecución de código arbitraria y el robo de tokens.
De esta forma, al ejecutar código arbitrario, un atacante puede conseguir el control total del comportamiento de la app objetivo, mientras que la sustracción de tokens facilitaría al hacker acceder a cuentas de usuario y datos sensibles.
Apps con miles de millones de descargas
La firma liderada por Satya Nadella ha encontrado varias apps afectadas por este agujero de seguridad, al que ha denominado 'Dirty Stream'.
Desde la empresa de las ventanas han revelado los detalles de Dirty Stream esta semana, enfocándose en su impacto en las herramientas Xiaomi File Manager y WPS Office, las cuales suman en conjunto más de 1.500 millones de instalaciones en Google Play y son competidoras de algunos de sus programas.
Aunque Microsoft ha podido comprobar el impacto en varias aplicaciones, con un total de 4.000 millones de instalaciones, la compañía cree que el patrón de vulnerabilidad podría estar presente en otras aplicaciones de Android.
El gigante tecnológico ha informado del problema a los desarrolladores de las apps afectadas y estos han lanzado parches. Además, insta a todos los developers que se aseguren de que sus productos no se vean afectados.
Google también ha sido advertida de la vulnerabilidad y la compañía de Redmond ha publicado un artículo en la web de Android Developers para informar a los desarrolladores sobre los riesgos del fallo.