Los expertos en seguridad acaban de encontrar una falla masiva en los teléfonos Google Pixel

Google está reparando una grave vulnerabilidad a nivel de firmware que ha estado presente en millones de teléfonos inteligentes Pixel vendidos en todo el mundo desde 2017. “Por precaución, eliminaremos esto de todos los dispositivos Pixel compatibles en el mercado con una próxima actualización del software Pixel. ”, dijo la empresa al Washington Post .

El problema central es un paquete de aplicación llamado Showcase.apk, que es un elemento del firmware de Android que tiene acceso a múltiples privilegios del sistema. Normalmente, un usuario promedio de un teléfono inteligente no puede habilitarlo ni interactuar directamente con él, pero la investigación de iVerify demostró que un mal actor puede explotarlo para infligir daños graves.

"La vulnerabilidad hace que el sistema operativo sea accesible para los ciberdelincuentes para perpetrar ataques de intermediario, inyecciones de malware e instalaciones de software espía", según la empresa. La firma de seguridad reveló que la falla abre las puertas a la ejecución remota de código y la instalación remota de paquetes.

Eso significa que un mal actor puede instalar malware en un dispositivo objetivo sin tener acceso físico a él. Posteriormente, los ciberdelincuentes pueden lanzar diversas formas de ataque dependiendo del malware inyectado, que incluye, entre otros, el robo de datos confidenciales o la toma de control del sistema.

El problema principal es que Showcase.apk descarga recursos de configuración a través de una conexión HTTP no segura, lo que lo deja vulnerable a actores maliciosos. Lo que lo hace más aterrador es que los usuarios no pueden desinstalarlo directamente como pueden eliminar otras aplicaciones almacenadas en sus teléfonos.

Un problema muy de Pixel

Entonces, ¿cómo influye Google Pixel en toda la secuencia, y no todos los teléfonos Android del planeta? Bueno, el paquete Showcase.apk viene preinstalado en el firmware de Pixel y también es un componente central de las imágenes OTA que Google publica para instalar actualizaciones de software, especialmente durante el proceso de desarrollo inicial.

iVerify señala que hay varias formas en que un pirata informático puede habilitar el paquete, aunque no esté activo de forma predeterminada. Google podría enfrentarse a una gran presión tras las revelaciones por múltiples razones.

Primero, iVerify dice que notificó a Google sobre su alarmante descubrimiento 90 días antes de hacerse público, pero Google no proporcionó una actualización sobre cuándo solucionaría la falla, dejando en riesgo millones de dispositivos Pixel vendidos en todo el mundo. En segundo lugar, uno de los dispositivos marcados como no seguros estaba en uso activo en Palantir Technologies, una empresa de análisis que recientemente recibió un contrato por valor de alrededor de 500 millones de dólares por parte del Departamento de Defensa de EE. UU. para fabricar sistemas de visión por computadora para el ejército de EE. UU.

Ahora, sólo para mayor claridad, no es Showcase.apk en sí lo que es problemático. Es la forma en que descarga archivos de configuración a través de una conexión HTTP no segura lo que se consideró una invitación abierta para que los piratas informáticos husmeen. Para darle una idea de la amenaza, el navegador Chrome de Google advierte a los usuarios cada vez que visitan un sitio web que utiliza el antiguo protocolo HTTP. en lugar de la arquitectura HTTPS más segura.

Después de publicar esta historia, un portavoz de Google envió la siguiente declaración a Digital Trends para obtener más aclaraciones sobre toda la situación:

“Esta no es una plataforma Android, ni una vulnerabilidad de Pixel, es un APK desarrollado por Smith Micro para dispositivos de demostración en las tiendas de Verizon y ya no se utiliza. La explotación de esta aplicación en el teléfono de un usuario requiere tanto acceso físico al dispositivo como la contraseña del usuario. No hemos visto evidencia de ninguna explotación activa. Por precaución, eliminaremos esto de todos los dispositivos Pixel compatibles en el mercado con una próxima actualización del software Pixel. La aplicación no está presente en los dispositivos de la serie Pixel 9. También estamos notificando a otros [fabricantes] de Android”.

esto es serio

Independientemente del vehículo de amenaza, lo que podría causarle problemas a Google es que los teléfonos inteligentes Pixel en riesgo estuvieran siendo utilizados activamente por un contratista de defensa, lo que en teoría podría poner en riesgo la seguridad nacional. No es difícil imaginar por qué.

Basta con mirar cómo se ha prohibido TikTok para los empleados federales en varios estados, citando preocupaciones de seguridad nacional similares. “Es realmente bastante preocupante. Los píxeles deben estar limpios. Hay un montón de elementos de defensa integrados en los teléfonos Pixel”, dijo a The Post Dane Stuckey, director de seguridad de la información de Palantir.

La aplicación fue creada por Smith Micro para el gigante de las telecomunicaciones Verizon con el fin de configurar los teléfonos en modo de demostración para tiendas minoristas. Además, dado que la aplicación en sí no contiene ningún código malicioso, es casi imposible que las aplicaciones o el software antivirus la marquen como tal. Google, por otro lado, dice que explotar la falla requeriría acceso físico y conocimiento de la contraseña del teléfono.

iVerify, sin embargo, también ha planteado dudas sobre la presencia generalizada de la aplicación. Cuando se desarrolló para unidades de demostración a pedido de Verizon, ¿por qué el paquete formaba parte del firmware de Pixel en los dispositivos, no solo en los destinados al inventario del operador?

Tras la auditoría de seguridad, Palantir eliminó efectivamente todos los dispositivos Android de su flota y pasó exclusivamente a los iPhone, una transición que se completará en los próximos años. Afortunadamente, no ha habido evidencia de que los malos actores aprovechen la vulnerabilidad Showcase.apk.