La línea insignia de teléfonos inteligentes Pixel de Google promociona la seguridad como característica centralque ofrece actualizaciones de software garantizadas durante siete años y ejecuta Android de serie, que se supone que está libre de complementos de terceros y bloatware. Sin embargo, el jueves, los investigadores de la empresa de seguridad de dispositivos móviles iVerify publicaron los hallazgos sobre una vulnerabilidad de Android que parece haber estado presente en todas las versiones de Android para Pixel desde septiembre de 2017 y que podría exponer los dispositivos a manipulación y apropiación indebida.
El problema está relacionado con un paquete de software llamado “Showcase.apk” que se ejecuta a nivel del sistema y permanece oculto a los ojos de los usuarios. La aplicación fue desarrollada por la empresa de software empresarial Smith Micro para Verizon como un mecanismo para poner los teléfonos en modo de demostración en una tienda minorista; no es un software de Google. Sin embargo, durante años ha estado presente en cada versión de Android para Pixel y tiene amplios privilegios de sistema, incluida la ejecución remota de código y la instalación remota de software. Aún más riesgoso, la aplicación está diseñada para descargar un archivo de configuración a través de una conexión web HTTP no cifrada que, según los investigadores de iVerify, podría ser secuestrada por un atacante para tomar el control de la aplicación y, luego, de todo el dispositivo de la víctima.
iVerify reveló sus hallazgos a Google a principios de mayo, y el gigante tecnológico aún no ha publicado una solución para el problema. El portavoz de Google, Ed Fernandez, le dijo a WIRED en un comunicado que Showcase “ya no está siendo utilizado” por Verizon, y Android eliminará Showcase de todos los dispositivos Pixel compatibles con una actualización de software “en las próximas semanas”. Agregó que Google no ha visto evidencia de explotación activa y que la aplicación no está presente en el nuevos dispositivos de la serie Pixel 9 que Google anunció esta semana. Verizon y Smith Micro no respondieron a las solicitudes de comentarios de WIRED antes de la publicación.
“He visto muchas vulnerabilidades de Android, y esta es única en algunos aspectos y bastante preocupante”, dice Rocky Cole, director de operaciones de iVerify y ex analista de la Agencia de Seguridad Nacional de Estados Unidos. “Cuando se ejecuta Showcase.apk, tiene la capacidad de tomar el control del teléfono. Pero el código es, francamente, de mala calidad. Plantea preguntas sobre por qué el software de terceros que se ejecuta con privilegios tan altos en las partes más profundas del sistema operativo no se probó más a fondo. Me parece que Google ha estado introduciendo bloatware en los dispositivos Pixel de todo el mundo”.
Los investigadores de iVerify descubrieron la aplicación después de que el escáner de detección de amenazas de la empresa detectara una validación de aplicación inusual de Google Play Store en el dispositivo de un usuario. El cliente, la empresa de análisis de big data Palantir, trabajó con iVerify para investigar Showcase.apk y revelar los hallazgos a Google. El director de seguridad de la información de Palantir, Dane Stuckey, dice que el descubrimiento y lo que él describe como la respuesta lenta y opaca de Google ha llevado a Palantir a eliminar gradualmente no solo los teléfonos Pixel, sino todos los dispositivos Android de la empresa.
“El hecho de que Google incorpore software de terceros en el firmware de Android y no lo revele a los proveedores o usuarios genera una vulnerabilidad de seguridad significativa para cualquiera que dependa de este ecosistema”, explica Stuckey a WIRED. Agregó que sus interacciones con Google durante el período de divulgación estándar de 90 días “erosionaron gravemente nuestra confianza en el ecosistema. Para proteger a nuestros clientes, hemos tenido que tomar la difícil decisión de alejarnos de Android en nuestra empresa”.
