Canonical ha publicado un aviso de seguridad para las quince personas que instalaron una aplicación particular en teléfonos Ubuntu.

Como director cliente de ingeniería de software de la empresa Ubuntu, Olli Ries escribió que el error fue explotado en una aplicación llamada test.mmrow en la tienda de software del sistema operativo del teléfono.

La aplicación maliciosa crea un script que modifica la pantalla de inicio y permite al atacante acceso al teléfono como adminsitrador, explica.

Generó una "política de seguridad no confinada" en el dispositivo objetivo, escribe Ries, y "después es capaz de crear un script de shell que puede elevar sus privilegios para el usuario root y extraer un achivo tar con imágenes que son mostradas cuando el teléfono se reinicia en modo de recuperación".

La aplicación se introdujo en la tienda de teléfonos Ubuntu y revela dos problemas, continua Ries: uno en la herramienta de revisión de clic del sistema y el otro, que la aplicación superó las herramientas de revisión automatizadas de la tienda.

"La aplicación infractora fue construida de tal manera que parece que utiliza una plantilla de confinamiento estándar, pero especifica una plantilla no confinada en el directorio alternativo", explica, además consiguió pasar las herramientas de revisión de código.

Las herramientas de revisión de clic del teléfono Ubuntu fueron actualizadas para cerrar los agujeros que están siendo explotados.

Ries enfatizó que el fallo sólo afectó el sistema operativo del teléfono. La empresa va a presionar para corregir el error y dice que está en contacto con los 15 usuarios que descargaron test.mmrow (dos de los cuales eran miembros del personal de Ubuntu).