Um grande percentual dos próprios dispositivos Pixel da Google enviados globalmente desde setembro de 2017 incluiu um software dormente que poderia ser usado para planejar ataques nefastos e entregar vários tipos de malware.
O problema se manifesta na forma de um aplicativo pré-instalado do Android chamado "Showcase.apk", que vem com privilégios de sistema excessivos, incluindo a capacidade de executar código remotamente e instalar pacotes arbitrários no dispositivo, de acordo com a firma de segurança móvel iVerify.
"O aplicativo baixa um arquivo de configuração por uma conexão não segura e pode ser manipulado para executar código no nível do sistema", disse em uma análise publicada em conjunto com a Palantir Technologies e a Trail of Bits.
"O aplicativo recupera o arquivo de configuração de um único domínio baseado nos EUA, hospedado na AWS, por HTTP não seguro, o que deixa a configuração vulnerável e pode tornar o dispositivo vulnerável."
O aplicativo em questão é chamado de Verizon Retail Demo Mode ("com.customermobile.preload.vzw"), que requer quase três dúzias de diferentes permissões baseadas em artefatos carregados no VirusTotal no início deste fevereiro, incluindo localização e armazenamento externo.
Posts no Reddit e nos Fóruns da XDA mostram que o pacote existe desde agosto de 2016.
O cerne do problema tem a ver com o aplicativo baixar um arquivo de configuração por uma conexão web HTTP não criptografada, em oposição ao HTTPS, abrindo assim a porta para alterá-lo durante o trânsito para o telefone visado.
Não há evidências de que isso tenha sido explorado na prática.
Permissões solicitadas pelo aplicativo Showcase.apk
Vale ressaltar que o aplicativo não é um software feito pela Google.
Em vez disso, é desenvolvido por uma empresa de software empresarial chamada Smith Micro para colocar o dispositivo em modo de demonstração.
Atualmente, não está claro por que software de terceiros é diretamente incorporado ao firmware do Android, mas, em segundo plano, um representante do Google disse que o aplicativo é de propriedade e exigido pela Verizon em todos os dispositivos Android.
O resultado net é que deixa os smartphones Android Pixel suscetíveis a ataques do tipo adversary-in-the-middle (AitM), concedendo a atores maliciosos poderes para injetar código malicioso e spyware.
Além de rodar em um contexto altamente privilegiado no nível do sistema, o aplicativo "falha em autenticar ou verificar um domínio definido estaticamente durante a recuperação do arquivo de configuração do aplicativo" e "usa inicialização de variável padrão não segura durante a verificação de certificados e assinaturas, resultando em verificações de verificação válidas após falha."
Dito isso, a criticidade da deficiência é atenuada até certo ponto pelo fato de que o aplicativo não está habilitado por padrão, embora seja possível fazê-lo apenas quando um ator de ameaça tem acesso físico a um dispositivo-alvo e o modo desenvolvedor está habilitado.
"Uma vez que este aplicativo não é inerentemente malicioso, a maioria das tecnologias de segurança pode ignorá-lo e não marcá-lo como malicioso, e como o aplicativo está instalado no nível do sistema e faz parte da imagem do firmware, ele não pode ser desinstalado no nível do usuário", disse a iVerify.
Em um comunicado compartilhado com O Hacker News, o Google disse que não é uma vulnerabilidade da plataforma Android nem do Pixel, e que está relacionado a um arquivo de pacote desenvolvido para dispositivos de demonstração em lojas da Verizon.
Também disse que o aplicativo não está mais sendo usado.
"A exploração deste aplicativo em um telefone de usuário requer tanto acesso físico ao dispositivo quanto a senha do usuário", disse um porta-voz do Google.
"Não vimos evidências de qualquer exploração ativa. Por uma questão de cautela, estaremos removendo isso de todos os dispositivos Pixel suportados no mercado com uma próxima atualização de software do Pixel.O aplicativo não está presente nos dispositivos da série Pixel 9.
Também estamos notificando outros OEMs Android," finaliza o Google.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...