Vulnerabilidad en la aplicación Tasks.org para Android (CVE-2022-39349)

La aplicación Tasks.org para Android es una aplicación de código abierto para listas de tareas y recordatorios. La aplicación Tasks.org usa la actividad "ShareLinkActivity.kt" para manejar los intentos de "compartir" procedentes de otros componentes en el mismo dispositivo y convertirlos en tareas. Estos intentos pueden contener rutas de archivos arbitrarias como adjuntos, en cuyo caso los archivos apuntados por esas rutas son copiadas en el directorio de almacenamiento externo de la app. En versiones anteriores a 12.7.1 y 13.0.1, esas rutas no eran comprendidas, permitiendo que una aplicación maliciosa o comprometida en el mismo dispositivo forzara a Tasks.org a copiar archivos de su almacenamiento interno a su directorio de almacenamiento externo, donde quedaban accesibles para cualquier componente con permiso para leer el almacenamiento externo. Esta vulnerabilidad puede conllevar a una divulgación de información confidencial. Toda la información de las notas del usuario y de las preferencias de la aplicación, incluidas las credenciales cifradas de las integraciones de CalDav si están activadas, podía ser accesible por aplicaciones de terceros instaladas en el mismo dispositivo. Este problema ha sido corregido en versiones 12.7.1 y 13.0.1. No se presentan mitigaciones conocidas