La empresa de seguridad para teléfonos móviles iVerify ha descubierto una vulnerabilidad en los teléfonos inteligentes Google Pixel. Según iVerify un software de terceros con acceso profundo al sistema es el culpable y, lamentablemente, se envió con “un porcentaje muy grande de dispositivos Pixel (…) desde septiembre de 2017”.
El problema está relacionado con “Showcase.apk”, un software creado para Verizon y que se utiliza para poner los dispositivos Pixel en modo de demostración mientras se exhiben en tiendas minoristas. El software descarga un archivo de configuración a través de una conexión web no cifrada, lo que, debido al acceso profundo de Showcase, podría permitir que actores maliciosos ejecuten código de forma remota o instalen paquetes de forma remota en el dispositivo.
La parte especialmente preocupante de este descubrimiento es que Showcase no se puede desinstalar a nivel de usuario. Y si bien no está habilitado de manera predeterminada, iVerify afirmó que podría haber múltiples formas de activar el software. iVerify alertó a Google sobre la vulnerabilidad en mayo; hasta ahora no hay evidencia confirmada de que haya sido explotada en la red.
Un portavoz de Google dijo que Showcase “ya no está siendo utilizado” por Verizon y que Google tendría una actualización de software para eliminar el software de todos los dispositivos Pixel “en las próximas semanas”. Además, el representante dijo que Showcase no está presente en la línea de dispositivos anunciados durante el evento Made by Google esta semana.
