Las aplicaciones UWP de Windows 10 no son tan seguras como prometen; un fallo permite tener acceso a todo el sistema

Escrito por Rubén Velasco

Las aplicaciones universales, UWP, son el nuevo formato de aplicaciones que llegaron con Windows 10, aplicaciones similares a las de los móviles que se instalan y funcionan de manera aislada al resto del sistema y solo pueden tener acceso a determinados elementos del mismo mediante “permisos”. De esta manera, estas aplicaciones mejoran la seguridad y privacidad de nuestro sistema frente a las clásicas aplicaciones Win32, sin embargo, puede que no sean tan seguras como deberían ser.

Estas aplicaciones, por defecto, solo tienen acceso a su propia carpeta, así como a las carpetas compartidas por las aplicaciones y la carpeta temporal. Si estas aplicaciones quieren acceder a algún otro directorio, entonces se debe especificar mediante su correspondiente permiso en el fichero manifiesto.

Permisos Spotify UWP

Recientemente acaban de encontrar un nuevo fallo de seguridad en Windows 10 que puede permitir a cualquier aplicación UWP tener acceso completo a todos los datos de nuestro sistema sin necesidad de especificarle ningún permiso especial y sin que el usuario sea consciente de ello.

Algunas aplicaciones de Microsoft, como Sticky Notes, tienen un permiso declarado en su configuración llamado “broadFileSystemAccess”. Este permiso, según la documentación de Windows 10, permite a la aplicación tener acceso a los mismos archivos a los que tiene acceso el usuario, es decir, a sus archivos personales, a OneDrive, al escritorio, descargas, discos duros, etc. Absolutamente a todo.

En teoría, cuando una aplicación recurre al permiso “broadFileSystemAccess”, el sistema operativo debe mostrar una ventana de confirmación al usuario para que sea este quien permita que la aplicación pueda acceder a todos los datos. Sin embargo, en la última versión de Windows 10 esta ventana no aparece debido a un problema con la privacidad, por lo que las aplicaciones que tengan definido este permiso pueden tener acceso completo a todos los archivos del sistema sin necesidad de que el usuario acepte nada.

Cómo proteger nuestro sistema de estas aplicaciones abusivas

Por desgracia, no hay ninguna forma de protegernos por nosotros mismos de este problema de seguridad, ya que se trata de un fallo de Windows 10, concretamente de la October 2018 Update, actualización que ha sido retirada por Microsoft por la gran cantidad de fallos y problemas detectados y que, hasta que no se solucionen todos ellos, no se volverá a liberar.

Privacidad Windows 10 October 2018 Update

Si estamos utilizando Windows 10 April 2018 Update, entonces no tenemos que preocuparnos de este fallo. Si por el contrario actualizamos cuando se lanzó la actualización, lo mejor que podemos hacer es controlar las aplicaciones que instalamos para averiguar cuál puede abusar de estos permisos. Además, debemos estar atentos a las actualizaciones de Windows 10 de manera que, tan pronto como Microsoft solucione este (y muchos otros problemas), podamos descargarla para protegernos.

Microsoft, por su parte, quiere aplicar más controles a la Microsoft Store, y una de las últimas medidas de seguridad que va a incluir pasa por controlar todas las aplicaciones que utilicen este permiso, obligando a los desarrolladores a dar una descripción detallada de por qué lo usan. Eso sí, los controles de la Store de Microsoft no se caracterizan por ser precisamente minuciosos, por lo que habrá que ver si realmente esta medida de seguridad sirve de algo.

¿Qué opinas de este fallo en Windows 10?

Fuente > bleepingcomputer