La línea insignia de teléfonos inteligentes Pixel de Google promociona la seguridad como una característica centralque ofrece actualizaciones de software garantizadas durante siete años y ejecuta Android estándar que está destinado a estar libre de complementos y bloatware de terceros. Sin embargo, el jueves, investigadores de la firma de seguridad de dispositivos móviles iVerify publicarán hallazgos sobre una vulnerabilidad de Android que parece haber estado presente en todas las versiones de Android para Pixel desde septiembre de 2017 y podría exponer los dispositivos a manipulación y toma de control.
El problema se relaciona con un paquete de software llamado “Showcase.apk” que se ejecuta a nivel del sistema y permanece invisible para los usuarios. La aplicación fue desarrollada por la empresa de software empresarial SmithMicro para Verizon como un mecanismo para poner los teléfonos en modo de demostración de tienda minorista; no es software de Google. Sin embargo, durante años, ha estado en cada versión de Android para Pixel y tiene amplios privilegios del sistema, incluida la ejecución remota de código y la instalación remota de software. Aún más riesgoso, la aplicación está diseñada para descargar un archivo de configuración a través de una conexión web HTTP no cifrada que, según los investigadores de iVerify, podría ser secuestrada por un atacante para tomar el control de la aplicación y luego de todo el dispositivo víctima.
iVerify reveló sus hallazgos a Google a principios de mayo y el gigante tecnológico aún no ha publicado una solución para el problema. El portavoz de Google, Ed Fernández, le dice a WIRED en un comunicado que Verizon “ya no utiliza” Showcase y que Android eliminará Showcase de todos los dispositivos Pixel compatibles con una actualización de software “en las próximas semanas”. Agregó que Google no ha visto evidencia de explotación activa y que la aplicación no está presente en el nuevos dispositivos de la serie Pixel 9 que Google anunció esta semana. Verizon y SmithMicro no respondieron a las solicitudes de comentarios de WIRED antes de la publicación.
“He visto muchas vulnerabilidades de Android, y ésta es única en algunos aspectos y bastante preocupante”, dice Rocky Cole, director de operaciones de iVerify y ex analista de la NSA. “Cuando se ejecuta Showcase.apk, tiene la capacidad de apoderarse del teléfono. Pero, francamente, el código es de mala calidad. Plantea preguntas sobre por qué el software de terceros que se ejecuta con privilegios tan altos en una profundidad tan profunda del sistema operativo no se probó más profundamente. Me parece que Google ha estado introduciendo bloatware en dispositivos Pixel en todo el mundo”.
Los investigadores de iVerify descubrieron la aplicación después de que el escáner de detección de amenazas de la compañía detectara una validación inusual de la aplicación Google Play Store en el dispositivo de un usuario. El cliente, la empresa de análisis de big data Palantir, trabajó con iVerify para investigar Showcase.apk y revelar los hallazgos a Google. El director de seguridad de la información de Palantir, Dane Stuckey, dice que el descubrimiento y lo que él describe como la respuesta lenta y opaca de Google ha llevado a Palantir a eliminar gradualmente no sólo los teléfonos Pixel, sino todos los dispositivos Android de toda la empresa.
“La incorporación de software de terceros en el firmware de Android por parte de Google y no revelarlo a proveedores o usuarios crea una vulnerabilidad de seguridad significativa para cualquiera que confíe en este ecosistema”, le dice Stuckey a WIRED. Añadió que sus interacciones con Google durante el período de divulgación estándar de 90 días “erosionaron gravemente nuestra confianza en el ecosistema. Para proteger a nuestros clientes, hemos tenido que tomar la difícil decisión de alejarnos de Android en nuestra empresa”.
