Estamos acostumbrados ya a ver problemas de malware en algunas de las aplicaciones del Google Play pero es algo nuevo que sea Google el implicado. En exclusiva en AndroidTR hemos encontrado algo que no dejará indiferente a nadie. Gmail comparte tu dirección de correo con tus apps sin necesidad de permisos adicionales de ningún tipo, todo lo que necesitas hacer es abrir un archivo.
Un riesgo disfrazado de función.
El problema aparece cuando abrimos un archivo adjunto en Gmail, sea del tipo que sea y sin importar lo que contenga. En cuanto lo hagamos, al seleccionar una aplicación de las que tenemos instaladas en nuestro teléfono para abrirlo, a esta aplicación además de compartírsele el archivo en cuestión para que pueda abrirlo se le enviará, sin motivo aparente, nuestra dirección de correo de Gmail y otra información relativa al email.
La aplicación que recibe nuestra dirección de correo no necesita contar con ningún permiso. Recordemos que existe un permiso especial de “acceso a cuentas” con el que las apps pueden pedir acceder a nuestro correo. En este caso, aplicaciones como Acrobat Reader pueden acceder a nuestro correo electrónico directamente.
Comprueba tu mismo si Gmail comparte tu correo.
En colaboración con Development Colors, desarrolladores de apps para Android, hemos creado una aplicación que sirve de ejemplo de este problema en Gmail. Debido a lo importante que es la información de los usuarios, hemos decidido publicar el código de la aplicación en Github. “This Is Your Mail”, que es el nombre que hemos decidido usar para la aplicación de ejemplo, no requiere ningún permiso, de esta forma tu información seguirá a salvo y podrás ver por ti mismo qué hace Google con tus datos.
Como obviamente seguro que incluye algunas de las normas del propio Google Play, al tratarse de una app para hackear uno de los “fallos” de Gmail, tendrás que instalar directamente el archivo APK que aparece a continuación, archivo que también puedes encontrar en Github.
¿Cómo hackear Gmail con This Is Your Mail?
Hemos apostado por una interfaz sencilla y sin apenas funciones. Todo lo que tendrás que hacer será instalar la aplicación. Si la abres directamente, encontrarás un botón con el que abrir Gmail. Lo que tendrás que hacer será ir a Gmail e intentar abrir un archivo, por ejemplo un PDF, con una app externa, seleccionando This Is Your Mail para tal fin. En cuanto la aplicación se abra, si Gmail ha compartido una dirección de correo podrás verla directamente en la pantalla.
Google contesta. No es un bug.
Al darnos cuenta de lo que consideramos de problema nos pusimos en contacto con Google a través de los canales que Google activa para este tipo de “bugs”. La respuesta, días después, ha sido contundente, no es lo suficientemente grave en palabras de los trabajadores de Google como para considerarlo un bug de seguridad y, como requiere una parte de ingeniería social, no se trata de una amenaza, o eso dice Google.
Además, acompañando a la respuesta de Google, encontramos el «Status», «Intended Behavior», es decir, el comportamiento que denunciamos se encuentra previsto por parte de los desarrolladores de Gmail como si de otra función más se tratase.