Un nuevo informe revela que muchos teléfonos Google Pixel vendidos en los últimos años tienen instalada una aplicación “Showcase” que deja abierto un preocupante agujero de seguridad, pero se solucionará pronto.
“Showcase”, que afecta a casi todos los teléfonos Pixel, es un APK que ha estado precargado en los dispositivos de Google durante años. La aplicación fue desarrollada por Smith Micro para Verizon y se utilizó para lanzar un modo minorista en el dispositivo. Sin embargo, la aplicación está precargada (fuera del alcance del usuario) en “cada versión de Android para Pixel”. como CON CABLE informes.
Se dice que Showcase tiene privilegios avanzados del sistema, incluida la capacidad de instalar software o ejecutar código de forma remota. La aplicación está diseñada para descargar un archivo de configuración que, aparentemente, se realiza a través de una conexión HTTP no cifrada que es vulnerable al secuestro. Ese es el principal temor con esta aplicación. Los profundos privilegios que tiene Showcase dentro de Android en los dispositivos Pixel podrían exponer los dispositivos al control por parte de un tercero malintencionado a través de los privilegios de la aplicación.
iVerify, la empresa que descubrió la vulnerabilidad, reveló sus hallazgos a Google en mayo y describió el problema como “único en algunos aspectos y bastante preocupante”.
Para los usuarios finales, el nivel de riesgo parece mínimo. Si bien la aplicación está preinstalada en los dispositivos Pixel, está deshabilitada de manera predeterminada y requiere acceso físico al dispositivo (y la contraseña) para habilitarla. Además, en nuestras pruebas breves, no hay una manera fácil de acceder a la aplicación.
Google también ha reconocido la vulnerabilidad y ha confirmado que eliminará “Showcase” de los dispositivos Pixel “en las próximas semanas”. Google también confirmó que Verizon y Google ya no utilizan la aplicación y que no hay evidencia de explotación activa de la vulnerabilidad.
La serie Pixel 9 se entrega sin “Showcase” instalado.
La vulnerabilidad fue descubierta por iVerify en nombre de Palantir, una empresa de análisis de datos. Sin embargo, la respuesta de Google al problema se consideró “lenta” y “opaca” y llevó a Palantir a retirar gradualmente los dispositivos Pixel y los dispositivos Android en su conjunto de la empresa. El director de seguridad de la información de Palantir dijo que la respuesta de Google y el hecho de que la aplicación no se divulgara en primer lugar “erosionaron gravemente nuestra confianza en el ecosistema”.
No está claro si otros dispositivos Android también tienen instalado “Showcase”, pero Google aparentemente está “notificando a otros OEM de Android”.
No se sabe exactamente cuándo se eliminará “Showcase” de todos los dispositivos Pixel “compatibles”, pero es probable que llegue a través de los próximos parches de seguridad.
Más sobre Google Pixel:
Sigue a Ben: Gorjeo/X, Traposy Instagram
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
