La semana de lanzamiento del Pixel de Google termina con una nueva y seria advertencia para millones de usuarios
Se acaba de emitir una nueva advertencia alarmante para los usuarios de Android, después del descubrimiento de “una grave vulnerabilidad de seguridad que afecta a los dispositivos Pixel a nivel mundial… dejando a millones de dispositivos susceptibles a ataques de tipo “man-in-the-middle” (MITM), lo que les da a los cibercriminales la capacidad de inyectar código malicioso y spyware peligroso”.
La advertencia del especialista en seguridad de teléfonos inteligentes iVerificar Se trata de la aplicación Showcase preinstalada en decenas de millones de dispositivos Pixel. Cabe destacar que la vulnerabilidad se detectó por primera vez en un dispositivo Palantir de alta seguridadiVerify señala que “la aplicación se ejecuta a nivel del sistema y puede cambiar fundamentalmente el sistema operativo del teléfono. Dado que el paquete de la aplicación se instala a través de protocolos HTTP no seguros, esto abre una puerta trasera, lo que facilita que los cibercriminales pongan en peligro el dispositivo”.
Palantir ha sumado su voz a la de iVerify, y el CISO Dane Stuckey ha declarado: “Estamos apoyando a algunas de las instituciones más importantes del mundo occidental. El hecho de que Google incorpore software de terceros en el firmware de Android sin revisar la calidad o la seguridad de estas aplicaciones y sin informar de ello a los proveedores o usuarios crea una vulnerabilidad de seguridad significativa para cualquiera que dependa de este ecosistema”.
Tal era la preocupación por la falta de transparencia y la imposibilidad de eliminar esta aplicación, que el cofundador y director de operaciones de iVerify, Rocky Cole, advirtió que “tiene graves implicaciones para los entornos corporativos, con millones de teléfonos Android que ingresan al lugar de trabajo todos los días. Google básicamente está dando a los CISO la opción imposible de aceptar bloatware inseguro o prohibir Android por completo”.
Una aplicación preinstalada con algún tipo de vulnerabilidad de seguridad es un desastre a punto de ocurrir, aunque iVerify reconoce que “no tenemos evidencia de que esta vulnerabilidad esté siendo explotada activamente”. El motivo de la mayor preocupación es que la aplicación “está diseñada para recuperar un archivo de configuración a través de HTTP no seguro… para ejecutar comandos o módulos del sistema que podrían abrir una puerta trasera, lo que facilita la vulneración del dispositivo”. Como la aplicación en sí no es maliciosa, sino que está mal diseñada, “la mayoría de las tecnologías de seguridad pueden pasarla por alto… y como la aplicación está instalada a nivel del sistema y forma parte de la imagen del firmware, no se puede desinstalar a nivel del usuario”.
iVerify me dijo que “notificó a Google con un informe detallado de vulnerabilidad luego de su proceso de divulgación de 90 días”, aunque en ese momento todavía “no estaba claro cuándo Google emitirá un parche o eliminará el software de los teléfonos para mitigar los riesgos potenciales”.
A pesar de que “no hay evidencia de ninguna explotación activa”, Google me aseguró que está tomando medidas y me dijo que “por precaución, eliminaremos esta aplicación de todos los dispositivos Pixel compatibles en el mercado con una próxima actualización de software de Pixel. La aplicación no está presente en los dispositivos de la serie Pixel 9”. Y aunque el informe de iVerify se centró en Pixel, Google también dijo que está “notificando a otros fabricantes de equipos originales de Android”.
En cuanto al origen de la aplicación, Google me dijo que “no se trata de una vulnerabilidad de la plataforma Android ni de Pixel, es un apk desarrollado por Smith Micro para dispositivos de demostración en tiendas de Verizon y ya no se utiliza. La explotación de esta aplicación en el teléfono de un usuario requiere tanto acceso físico al dispositivo como la contraseña del usuario”.
Las preocupaciones específicas que motivaron el informe de iVerify incluyen la falta de autenticación durante la recuperación del archivo de configuración, la falta de controles de la integridad de ese archivo antes de cargarlo en el teléfono y la transmisión insegura, de ahí la vulnerabilidad MITM.
iVerify reconoce la naturaleza de “demostración” de la aplicación Showcase, “que cambia fundamentalmente la forma en que funciona el sistema operativo”, aunque “la aplicación se ejecuta en un contexto altamente privilegiado, lo cual es innecesario para el propósito previsto de la aplicación”.
Antes de la eliminación masiva por parte de Google, iVerify advierte que “los usuarios no pueden hacer nada para protegerse de esta vulnerabilidad porque es parte de la imagen del firmware. Solo Google puede solucionarla. Por eso, este paquete les da a los usuarios una elección muy difícil entre aceptar la vulnerabilidad o no usar los teléfonos Pixel en absoluto”.
Esta advertencia llega claramente en un momento incómodo para Google, ya que esta semana… Lanzamiento del Pixel 9 y la batalla en curso entre Pixel y Samsung por la supremacía de la IA en Android, y con Apple de cara al lanzamiento de su iPhone 16 en la categoría premium más amplia.
La respuesta a la pregunta de iVerify sobre “por qué Google instala una aplicación de terceros en cada dispositivo Pixel cuando solo una cantidad muy pequeña de dispositivos la necesitaría” sigue sin estar clara. Pero esa preocupación, dice, “es lo suficientemente grave como para que Palantir, que ayudó a identificar el problema de seguridad, esté optando por eliminar los dispositivos Android de su flota móvil y realizar la transición completa a dispositivos Apple en los próximos años”.
En total, un final de semana de lanzamiento de Pixel más complicado de lo esperado para Google.
