El fallo, que tiene que ver con los permisos que piden las aplicaciones UWP, podría haber permitido que una app maliciosa accediera a todos los datos almacenados en el ordenador del usuario sin que este se enterara en ningún momento.
En Windows 10, si una app universal quiere tener acceso a absolutamente todo los archivos del sistema, debe solicitar permiso al usuario y Windows mostrará un mensaje emergente con la advertencia. Además de esto el desarrollador al enviar su app a la Microsoft Store debe declarar por qué requiere esos permisos y para qué planea usarlos. Esto no se estaba cumpliendo.
Lo normal es que una aplicación universal solo acceda al mismo directorio en el que se instala, además las carpetas de datos locales y archivos temporales de Windows 10. Si la app necesita más permisos, como acceder a tu carpeta de imágenes, documentos u otro, debe especificarlo en la descripción.
Sin embargo, existe un tipo de permiso llamado «broadFileSystemAccess» que le da a una app acceso a todos los archivos a los que el usuario tiene acceso. Como es una función restringida, cuando el usuario inicie una app con esos permisos por primera vez, Windows 10 debe mostrar una advertencia para que el usuario decida si acepta o no.
Acceso total sin que te enteres
El problema aquí, reportado por el desarrollador Sébastien Lachance, es que un bug en el sistema provocó que no se obligara a pasar por esa pantalla, y por lo tanto una app instalada podía tener acceso total a los archivos sin que el usuario diese su permiso y sin que se enterara.
Lo que todo esto quiere decir es que cualquier app con ese tipo de permisos pudo haber estado en la tienda de Microsoft, y ser instalada por un usuario que no supo nunca que tendría acceso a todos sus archivos con propósitos maliciosos.
Esto es un error que se solucionó en la actualización de octubre, y justo por eso es que el desarrollador descubrió que estaba pasando, porque él tenía una app con estos permisos que dejó de funcionar al actualizar, básicamente porque Windows 10 empezó a forzar que el usuario de su permiso en la página de ajustes para las apps que quieren acceso total al sistema de archivos.
Lamentablemente, sabemos cómo ha sido la historia de la actualización de octubre, una que fue retirada mientras se solucionan problemas críticos como el borrado de archivos. De momento, Microsoft aún no ha confirmado este problema.
Vía | BleepingComputer
También te recomendamos
–
La noticia
Un bug en Windows 10 permitía a las apps universales acceso total a todo el sistema de archivos sin permiso del usuario
fue publicada originalmente en
Genbeta
por
Gabriela González
.