Google eliminará una aplicación integrada de sus dispositivos telefónicos Pixel más de 90 días después de que el contratista de inteligencia Palantir y la empresa de seguridad móvil iVerificar expresó su preocupación por una vulnerabilidad importante en el softwaredijo Google el miércoles por la noche.
La aplicación en cuestión, Showcase.apk, estaba pensada para ayudar a los empleados que vendían teléfonos Pixel a demostrar las características del teléfono, según iVerify. Pero cuando se activa la aplicación, que suele estar inactiva, accede a información de un sitio de Amazon Web Services mediante el protocolo http, menos seguro, que la hace vulnerable a los ataques informáticos.
La información sobre la vulnerabilidad de la aplicación Pixel se publicó el jueves En un informe de iVerify que fue difundido por Palantir y la empresa de seguridad Trail of Bits. Palantir dijo que notificó el problema a Google hace más de 90 días y que sus preocupaciones no fueron atendidas. Posteriormente, Palantir dejó de entregar teléfonos Android a sus empleados debido a preocupaciones sobre la seguridad del software.
Google dijo en un correo electrónico a CNET que la aplicación fue desarrollada por un tercero, Smith Micro para Verizon, y dijo que no representa una vulnerabilidad de Android o Pixel ya que solo se utilizó para dispositivos en tiendas. La compañía dijo que la aplicación ya no se utiliza.
“La explotación de esta aplicación en el teléfono de un usuario requiere tanto acceso físico al dispositivo como la contraseña del usuario”, dijo un portavoz de Google a CNET. “No hemos visto evidencia de ninguna explotación activa. Por precaución, eliminaremos esta aplicación de todos los dispositivos Pixel compatibles en el mercado con una próxima actualización de software de Pixel. La aplicación no está presente en los dispositivos de la serie Pixel 9. También estamos notificando a otros fabricantes de equipos originales de Android”.
La noticia de un posible problema de seguridad con los teléfonos Pixel llega la misma semana que Google presentó su nueva línea de teléfonos Pixel en un evento Made By Google En Mountain View, California, la empresa promocionó su nueva línea de hardware de teléfonos, relojes y auriculares, así como funciones de inteligencia artificial en su software Gemini.
“Si bien no tenemos evidencia de que esta vulnerabilidad esté siendo explotada activamente, no obstante tiene serias implicaciones para los entornos corporativos, con millones de teléfonos Android ingresando al lugar de trabajo todos los días”, dijo Rocky Cole, cofundador y director de operaciones de iVerify, en un Breve descripción del informe el jueves. “Google básicamente les está dando a los CISO la opción imposible de aceptar bloatware inseguro o prohibir Android por completo”.
iVerify afirmó que los usuarios no pueden eliminar la aplicación en cuestión, ya que forma parte del firmware de los teléfonos Pixel. La aplicación puede plantear un problema en otros dispositivos Android que no sean Pixel y que hayan sido emitidos por Verizon y que contengan la aplicación Showcase.
“Verizon ya no utiliza esta función en sus tiendas y los consumidores tampoco la utilizan”, afirmó un portavoz de Verizon en un correo electrónico. “No hemos visto ninguna prueba de que se haya explotado esta función. Por precaución, los fabricantes de equipos originales de Android eliminarán esta función de demostración de todos los dispositivos compatibles”.
Google dijo en un correo electrónico que la actualización de Pixel se lanzaría “en las próximas semanas”, pero no emitió ninguna instrucción a los usuarios sobre lo que pueden hacer para proteger sus teléfonos hasta que eso suceda, aparte de mantenerlos fuera de las manos físicas de los piratas informáticos.
Mira esto: Análisis práctico de los Google Pixel 9, 9 Pro y 9 Pro XL
