Microsoft reparó silenciosamente un error en su sistema operativo Windows 10 con la actualización de octubre de 2018 (versión 1809) que permitía a las aplicaciones de la Tienda Microsoft con un amplio permiso del sistema de archivos acceder a todos los archivos en las computadoras de los usuarios sin su consentimiento.
Con Windows 10, Microsoft introdujo una plataforma común, llamada Universal Windows Platform (UWP), que permite que las aplicaciones se ejecuten en cualquier dispositivo que ejecute Windows 10, incluyendo PC de escritorio, Xbox, IoT, Surface Hub y auriculares de realidad mixta.
Las aplicaciones UWP tienen la capacidad de acceder a ciertas API, archivos como imágenes, música o dispositivos como cámara y micrófono, al declarar los permisos necesarios en su archivo de manifiesto (configuración) del paquete
De forma predeterminada, las aplicaciones UWP tienen acceso a directorios, donde la aplicación está instalada en el sistema de los usuarios y donde la aplicación puede almacenar datos (carpetas locales, móviles y temporales).
Sin embargo, para acceder a otros archivos en un sistema, incluidos los recursos confidenciales, Microsoft ofrece varios tipos de capacidades que una aplicación puede usar al declarar su permiso en el archivo de manifiesto.
Una de estas capacidades extensivas, llamada broadFileSystemAccess (acceso amplio al sistema de archivos), permite que una aplicación acceda al sistema de archivos al mismo nivel que el usuario que lanzó la aplicación.
Sin embargo, según Microsoft, esta es una capacidad restringida que, si se usa, activará un aviso de consentimiento del usuario mientras los usuarios inician la aplicación por primera vez, solicitándoles que otorguen o denieguen este permiso a la aplicación.
«En el primer uso, el sistema solicitará al usuario que permita el acceso. El acceso se puede configurar en Configuración> Privacidad> Sistema de archivos. Si envía una aplicación a la Tienda que declara esta capacidad, deberá proporcionar descripciones adicionales de por qué su aplicación necesita esta capacidad y cómo pretende usarla «, dice la documentación de Microsoft .
De acuerdo con el desarrollador de la aplicación de Windows Sébastien Lachance , la versión de Windows 10 anterior a la actualización de octubre de 2018 no pudo mostrar las solicitudes de permiso para acceder al sistema de archivos debido a un error, aparentemente dejando a los usuarios datos confidenciales expuestos a aplicaciones descargadas de la Tienda Windows.
En otras palabras, hasta la versión 1809, las aplicaciones podrían usarse para acceder a todo el sistema de archivos sin pedir permiso a los usuarios.
Lachance se enteró del error cuando una de sus aplicaciones que usa el permiso broadFileSystemAccess comenzó a fallar después de instalar la actualización de Windows 10 de octubre de 2018.
En otras palabras, hasta la versión 1809, las aplicaciones podrían usarse para acceder a todo el sistema de archivos sin pedir permiso a los usuarios.
Lachance se enteró del error cuando una de sus aplicaciones que usa el permiso broadFileSystemAccess comenzó a fallar después de instalar la actualización de Windows 10 de octubre de 2018.
Más tarde, un ingeniero de Microsoft explicó a Lachance que, dado que la última actualización de Windows 10 solucionó el problema del sistema al desactivar el ajuste ‘broadFileSystemAccess’ de forma predeterminada, es posible que todas las aplicaciones de UWP deban actualizarse para evitar bloqueos.
Para evitar bloqueos, Andrew sugirió que los desarrolladores de aplicaciones de Windows incluyan una línea simple de código en su software afectado que obligará a sus usuarios a aceptar el nuevo permiso de acceso a archivos en la configuración antes de iniciar la aplicación.
Desde que Microsoft detuvo el lanzamiento de la actualización de octubre de Windows 10 debido a un error de borrado de archivos, los usuarios que no tienen la actualización pueden restringir el acceso de las aplicaciones UWP al sistema de archivos en su computadora con Windows 10 a través de Configuración → Privacidad → Sistema de archivos .
Fuente: Thehackernews.com