.
A linha de smartphones Pixel, carro-chefe do Google, promove a segurança como um recurso central, oferecendo atualizações de software garantidas por sete anos e executando o Android padrão que deve ser livre de complementos de terceiros e bloatware. Na quinta-feira, no entanto, pesquisadores da empresa de segurança de dispositivos móveis iVerify estão publicando descobertas sobre uma vulnerabilidade do Android que parece estar presente em todas as versões do Android para Pixel desde setembro de 2017 e pode expor os dispositivos a manipulação e aquisição.
O problema está relacionado a um pacote de software chamado “Showcase.apk” que roda no nível do sistema e fica invisível para os usuários. O aplicativo foi desenvolvido pela empresa de software empresarial Smith Micro para a Verizon como um mecanismo para colocar telefones em um modo de demonstração de loja de varejo — não é um software do Google. No entanto, por anos, ele esteve em cada versão do Android para Pixel e tem privilégios profundos do sistema, incluindo execução remota de código e instalação remota de software. Ainda mais arriscado, o aplicativo é projetado para baixar um arquivo de configuração por uma conexão da web HTTP não criptografada que, segundo os pesquisadores do iVerify, poderia ser sequestrada por um invasor para assumir o controle do aplicativo e, em seguida, de todo o dispositivo da vítima.
O iVerify divulgou suas descobertas ao Google no início de maio, e a gigante da tecnologia ainda não lançou uma correção para o problema. O porta-voz do Google, Ed Fernandez, disse à WIRED em uma declaração que o Showcase “não está mais sendo usado” pela Verizon, e o Android removerá o Showcase de todos os dispositivos Pixel suportados com uma atualização de software “nas próximas semanas”. Ele acrescentou que o Google não viu evidências de exploração ativa e que o aplicativo não está presente nos novos dispositivos da série Pixel 9 que o Google anunciou esta semana. A Verizon e a Smith Micro não responderam aos pedidos de comentários da WIRED antes da publicação.
“Eu vi muitas vulnerabilidades do Android, e esta é única em alguns aspectos e bastante preocupante”, diz Rocky Cole, diretor de operações da iVerify e ex-analista da Agência de Segurança Nacional dos EUA. “Quando o Showcase.apk é executado, ele tem a capacidade de assumir o controle do telefone. Mas o código é, francamente, de má qualidade. Ele levanta questões sobre por que softwares de terceiros que são executados com privilégios tão altos tão profundamente no sistema operacional não foram testados mais profundamente. Parece-me que o Google tem empurrado bloatware para dispositivos Pixel ao redor do mundo.”
Os pesquisadores do iVerify descobriram o aplicativo depois que o scanner de detecção de ameaças da empresa sinalizou uma validação incomum de aplicativo da Google Play Store no dispositivo de um usuário. O cliente, a empresa de análise de big data Palantir, trabalhou com o iVerify para investigar o Showcase.apk e divulgar as descobertas ao Google. O diretor de segurança da informação da Palantir, Dane Stuckey, diz que a descoberta e o que ele descreve como uma resposta lenta e opaca do Google levaram a Palantir a eliminar não apenas os telefones Pixel, mas todos os dispositivos Android da empresa.
“O Google incorporando software de terceiros no firmware do Android e não divulgando isso para fornecedores ou usuários cria uma vulnerabilidade de segurança significativa para qualquer um que dependa desse ecossistema”, Stuckey disse à WIRED. Ele acrescentou que suas interações com o Google durante a janela de divulgação padrão de 90 dias “corroeram severamente nossa confiança no ecossistema. Para proteger nossos clientes, tivemos que tomar a difícil decisão de nos afastar do Android em nossa empresa.”
.
