Informe: Los teléfonos Google Pixel se venden con software de vigilancia oculto

La mayoría de los teléfonos Google Pixel vendidos desde septiembre de 2017 incluían software que podía usarse para vigilar o controlar de forma remota los teléfonos de los usuarios, según un nuevo estudio. informe de la empresa de ciberseguridad iVerify.

La vulnerabilidad se descubrió después de que el escáner de detección y respuesta de puntos finales (EDR) de iVerify señalara un dispositivo Android inseguro en Palantir Technologies, un cliente de iVerify. Después de iniciar una investigación conjunta, iVerify, Palantir y Trail of Bits descubrieron un paquete de software Android oculto (Showcase.apk) en los dispositivos Google Pixel. La empresa de minería de datos Palantir, que vende sus productos de vigilancia a los gobiernos y las empresas privadas, como respuesta, prohibieron los dispositivos Android en toda la compañía.

“Fue muy perjudicial para la confianza tener un software de terceros, no verificado y no seguro”, dijo Dane Stuckey, director de seguridad de la información de Palantir. dijo El Washington Post“No tenemos idea de cómo llegó allí, por lo que tomamos la decisión de prohibir los Androids internamente”.

Según el informe de iVerify, el software fue desarrollado por una empresa llamada Smith Micro Software y parece haber sido creado para Verizon para demostraciones en tiendas. La aplicación estaba inactiva de forma predeterminada y tenía que ser habilitada manualmente, según el informe de iVerify. “Cuando está habilitada, Showcase.apk hace que el sistema operativo sea accesible para los piratas informáticos y lo vuelve propicio para ataques de intermediarios, inyección de código y software espía”, se lee en el informe. “El impacto de esta vulnerabilidad es significativo y podría resultar en filtraciones de datos por un total de miles de millones de dólares”.

En una declaración a El bordeEl portavoz de Google, Ed Fernández, dijo que el software fue creado “para dispositivos de demostración en tiendas de Verizon y ya no se utiliza”, y agregó que Google “no ha visto evidencia de ninguna explotación activa”.

iVerify le contó a Google sobre su informe a principios de mayo, de acuerdo a Con cableLa compañía no ha revelado públicamente la vulnerabilidad ni ha publicado una actualización de software para eliminar el problema. Fernández, el portavoz de Google, dijo a Con cable que Android eliminaría la aplicación de todos los dispositivos Pixel “en las próximas semanas”.

“Es realmente bastante preocupante. Los píxeles deben estar limpios”, dijo Stuckey, de Palantir, al periódico. Correo“Hay un montón de elementos de defensa incorporados en los teléfonos Pixel”.