La seguridad suele estar en entredicho cuando hablamos de Android por más que el sistema operativo de Google sea más que seguro. El problema suele ser su masificación ya que, cualquier pequeña vulnerabilidad, puede explotarse debido a que es un sistema que se encuentra en todas partes. Y es precisamente ahí donde se dirige uno de los últimos problemas localizados en el sistema.

Lo descubierto por Nightwatch Cybersecurity no supone una vulnerabilidad enorme, pero sí puede implicar ciertos riesgos de privacidad si las aplicaciones la explotan de forma maliciosa. El problema se encuentra en que el sistema transmite vía Wifi datos privados como el BSSID del punto de acceso al que está conectado, las direcciones IP, las DNS o, lo más peliagudo, la dirección MAC de nuestro Android. Sí, estos son datos que se obtienen con solo «escuchar» un punto de acceso inalámbrico, pero supone un riesgo ya que la dirección MAC real no debería distribuirse en la conexión.

Las aplicaciones pueden leer la dirección MAC del móvil incluso aunque Android bloquee el acceso directo

La vulnerabilidad fue localizada a finales de marzo de 2018; Nightwatch Cybersecurity notificó a Google el problema; el gigante tecnológico estudió la vulnerabilidad y la corrigió en Android 9 Pie, por lo que solo aquellos móviles que actualicen a esta versión están 100 % protegidos. Google no planea solucionar el problema en versiones anteriores.

Pese a que la vulnerabilidad puede no parecer muy grave, que las aplicaciones tengan acceso a datos tan sensibles como la dirección MAC real de la tarjeta de red del móvil supone que podría rastrearse al usuario a fuerza de ir detectando en qué lugares se conecta. Todo debido a que los datos se distribuyen en las conexiones inalámbricas sin que el sistema esconda la MAC del dispositivo utilizando una aleatoria.

Android 9 Pie corrige la vulnerabilidad utilizando direcciones MAC aleatorias en la conexión y en la transmisión

Android 9 Pie es la primera versión de sistema que utiliza direcciones MAC aleatorias desde la conexión al intercambio de datos con el punto de acceso, de ahí que las aplicaciones no tengan acceso a un dato que es único de cada dispositivo WiFi. Android bloquea el acceso directo a la MAC por parte de las aplicaciones, pero no restringe su lectura cuando la conexión WiFi ya se ha establecido.

La dirección MAC se puede utilizar para identificar a los dispositivos y rastrearlos a través de todas las redes a las que se conectan. Gracias a esto una aplicación maliciosa podría obtener un registro de nuestra actividad sin demasiados problemas; algo que ya habría corregido Google en Android 9 Pie. Por desgracia, no todos los móviles podrán actualizar, por lo que la mayor parte de dispositivos se mantendrá en riesgo. Por más que las consecuencias tampoco sean fatales…