A linha principal de smartphones da Google, a Pixel, promove a segurança como uma característica central, oferecendo atualizações de software garantidas por sete anos e utilizando um Android puro, destinado a estar livre de complementos de terceiros e bloatware.
Contudo, pesquisadores da empresa de segurança de dispositivos móveis iVerify publicaram descobertas sobre uma vulnerabilidade no Android que parece estar presente em todas as versões do Android para Pixel desde setembro de 2017, podendo expor os dispositivos a manipulações e tomadas de controle.
O problema está relacionado a um pacote de software chamado "Showcase.apk" que opera no nível do sistema e fica invisível para os usuários.
O aplicativo foi desenvolvido pela empresa de software empresarial Smith Micro para a Verizon como um mecanismo para colocar telefones em um modo de demonstração em lojas de varejo - não é um software da Google.
No entanto, por anos, esteve presente em cada lançamento do Android para Pixel e possui privilégios profundos no sistema, incluindo execução de código remoto e instalação remota de software.
Ainda mais arriscado, a aplicação é projetada para baixar um arquivo de configuração através de uma conexão web HTTP não encriptada que, segundo os pesquisadores da iVerify, poderia ser sequestrada por um invasor para assumir o controle da aplicação e, em seguida, do dispositivo da vítima por completo.
A iVerify divulgou suas descobertas para a Google no início de maio, e a gigante da tecnologia ainda não lançou uma correção para o problema.
O porta-voz da Google, Ed Fernandez, disse em uma declaração que o Showcase "não está mais sendo usado" pela Verizon, e o Android removerá o Showcase de todos os dispositivos Pixel suportados com uma atualização de software "nas próximas semanas." Ele acrescentou que a Google não viu evidências de exploração ativa e que o aplicativo não está presente nos novos dispositivos da série Pixel 9 que a Google anunciou esta semana.
Em resposta à consulta sobre a vulnerabilidade do Showcase, o porta-voz da Verizon, George Koroneos, diz, "O APK em questão foi usado para demos de varejo e não está mais em uso." A Smith Micro disse em uma declaração que, "O APK em questão foi previamente licenciado para a Verizon para demonstrações de varejo in-loco, e não está mais em uso."
"Já vi muitas vulnerabilidades no Android, e esta é única de algumas maneiras e bastante preocupante", diz Rocky Cole, diretor operacional da iVerify e ex-analista da Agência de Segurança Nacional dos EUA.
Quando o Showcase.apk é executado, ele tem a capacidade de assumir o controle do telefone.
Mas o código é, francamente, de má qualidade.
Isso levanta questões sobre por que um software de terceiros que opera com privilégios tão altos tão profundamente no sistema operacional não foi testado de maneira mais aprofundada.
Parece-me que a Google tem empurrado bloatware para dispositivos Pixel ao redor do mundo.
Os pesquisadores da iVerify descobriram o aplicativo depois que o scanner de detecção de ameaças da empresa sinalizou uma validação incomum de aplicativo na Google Play Store em um dispositivo de um usuário.
O cliente, a empresa de análise de dados Palantir, trabalhou com a iVerify para investigar o Showcase.apk e divulgar as descobertas para a Google.
O diretor de segurança da informação da Palantir, Dane Stuckey, diz que a descoberta e o que ele descreve como a resposta lenta e opaca da Google incentivaram a Palantir a eliminar não apenas os telefones Pixel, mas todos os dispositivos Android da empresa.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...