Un nuevo bug detectado en Windows 10 ha dejado que aplicaciones (UWP) –-Plataforma Universal de Windows-–  accedieran a todos los archivos y directorios del computador sin que lo notes.

El desarrollador Sébastien Lachance, descubrió el fallo cuando se encontraba haciendo pruebas con una aplicación y notó que el sistema operativo no mostraba la advertencia para las UWP al ejecutar la función en “C: \ myAppData”.

Las aplicaciones UWP son aquellas que requieren del LocalStorage o de los archivos de Windows para ejecutarse, pero antes de acceder a dicha información estas deben solicitar permisos al usuario mostrando una ventana emergente.

Sin embargo, en Windows 10 esta advertencia no se estaba ejecutando debido a que el permiso “broadFileSystemAccess” se encontraba activado por defecto. Cabe destacar que este permiso da acceso a todos los archivos del sistema, y se debe ejecutar una sola vez.

En el momento en que implementé la función, fue antes de la actualización de octubre de 2018. Noté que la primera vez que utilicé un archivo codificado en “C: \ myAppData”, no recibí ningún mensaje y simplemente funcionó a pesar de que MSDN dijo: “En el primer uso, el sistema solicitará al usuario que permita el acceso “.

Este fallo sin duda pudo haber permitido que una aplicación malintencionada tuviese acceso a cualquier información sin el conocimiento del usuario.

Windows una vez más corrigió el error con un pequeño parche en la actualización de Octubre, –sí, la  misma que posteriormente fue retirada por ocasionar borrado de archivos.

“Después de instalar la actualización de octubre de 2018, me di cuenta de que mi aplicación se estaba fallando al iniciar. Descubrí que el acceso a mi archivo anterior estaba fallando en la aplicación.” Dijo el desarrollador quien notó el cambio en la configuración.

Asimismo, Lachance menciona que Microsoft afirmó que la no activación de la ventana de diálogo de Windows al instalar una aplicación era producto de un bug.

Por lo que la plataforma decidió con la actualización de octubre de 2018, desactivar el valor del sistema de archivos de acceso amplio.

Lachance sugiere a los desarrolladores que para forzar esta validación y evitar que cualquiera acceda al sistema de archivos deben ejectutar las siguientes líneas de código:

await Windows.System.Launcher.LaunchUriAsync(new Uri(“ms-settings:privacy-broadfilesystemaccess”));

Los desarrolladores que utilizan broadFileSystemAccess y publican su aplicación en la tienda de Microsoft, deben proporcionar información sobre por qué se requiere este permiso.

De momento, se desconoce cuando será relanzada la actualización de Octubre de Microsoft. Aunque desde la plataforma no se han pronunciado, esperamos que se encuentren trabajando arduamente para corregir todos estos errores delicados de manera profunda y sin añadir parches, pues ya hemos notado que estos no funcionan.

Más en TekCrispy