Especialistas em segurança acabam de encontrar uma grande falha nos telefones Google Pixel

agosto 15, 2024 gurinho

O Google está corrigindo uma vulnerabilidade grave em nível de firmware que está presente em milhões de smartphones Pixel vendidos em todo o mundo desde 2017. “Por precaução, removeremos isso de todos os dispositivos Pixel suportados no mercado com uma próxima atualização de software Pixel. ”, disse a empresa ao The Washington Post .

O problema central é um pacote de aplicativos chamado Showcase.apk, que é um elemento do firmware Android que tem acesso a vários privilégios do sistema. Normalmente, um usuário médio de smartphone não pode ativá-lo ou interagir diretamente com ele, mas a pesquisa do iVerify provou que um malfeitor pode explorá-lo para causar sérios danos.

“A vulnerabilidade torna o sistema operacional acessível aos cibercriminosos para perpetrar ataques man-in-the-middle, injeções de malware e instalações de spyware”, segundo a empresa. A empresa de segurança revelou que a falha abre as portas para execução remota de código e instalação remota de pacotes.

Isso significa que um malfeitor pode instalar malware em um dispositivo alvo sem ter acesso físico a ele. Posteriormente, os cibercriminosos podem lançar várias formas de ataque, dependendo do malware injetado, o que inclui, entre outros, o roubo de dados confidenciais ou o controle do sistema.

O principal problema é que o Showcase.apk baixa ativos de configuração por meio de uma conexão HTTP insegura, deixando-o vulnerável a agentes mal-intencionados. O que o torna mais assustador é que os usuários não podem desinstalá-lo diretamente, como podem remover outros aplicativos armazenados em seus telefones.

Um problema muito Pixel

A tela do Google Pixel 8a. — Andy Boxall/Tendências Digitais

Então, como o Google Pixel influencia toda a sequência, e não todos os telefones Android do planeta? Bem, o pacote Showcase.apk vem pré-instalado no firmware do Pixel e também é um componente central das imagens OTA que o Google lança publicamente para instalação de atualizações de software – especialmente durante o processo inicial de desenvolvimento.

iVerify observa que existem várias maneiras de um hacker ativar o pacote, mesmo que ele não esteja ativo por padrão. O Google pode enfrentar sérios problemas após as divulgações por vários motivos.

Primeiro, o iVerify diz que notificou o Google sobre sua descoberta alarmante 90 dias antes de ir a público, mas o Google não forneceu uma atualização sobre quando corrigiria a falha – deixando em risco milhões de dispositivos Pixel vendidos em todo o mundo. Em segundo lugar, um dos dispositivos sinalizados como não seguros estava em uso activo na Palantir Technologies, uma empresa de análise que recentemente ganhou um contrato no valor de cerca de meio bilhão de dólares com o Departamento de Defesa dos EUA para fabricar sistemas de visão computacional para o Exército dos EUA.

Agora, apenas por uma questão de clareza, não é o Showcase.apk em si que é problemático. É a forma como ele baixa arquivos de configuração por meio de uma conexão HTTP insegura que foi considerada um convite aberto para hackers espionarem. Para se ter uma ideia da ameaça, o navegador Chrome do Google avisa os usuários sempre que eles visitam um site usando o antigo protocolo HTTP. em vez da arquitetura HTTPS mais segura.

Isso é sério

O Google Pixel 9 Pro XL ao lado do Google Pixel 8 Pro. — Ajay Kumar / Tendências Digitais

Independentemente do veículo de ameaça, o que poderia colocar o Google em apuros é que os smartphones Pixel em risco estavam em uso ativo por um empreiteiro de defesa, o que poderia, teoricamente, colocar a segurança nacional em risco. Não é difícil imaginar por quê.

Basta dar uma olhada em como o TikTok foi banido para funcionários federais em vários estados, citando preocupações semelhantes de segurança nacional. “É realmente muito preocupante. Os pixels devem ser limpos. Há um monte de coisas de defesa construídas em telefones Pixel”, disse Dane Stuckey, diretor de segurança da informação da Palantir, ao Post.

O aplicativo foi feito pela Smith Micro para a gigante de telecomunicações Verizon para colocar os telefones em modo de demonstração para lojas de varejo. Além disso, como o aplicativo em si não contém nenhum código malicioso, é quase impossível que aplicativos ou softwares antivírus o sinalizem como tal. O Google, por outro lado, afirma que a exploração da falha exigiria acesso físico e conhecimento da senha do telefone.

O iVerify, no entanto, também levantou questões sobre a presença generalizada do aplicativo. Quando foi desenvolvido para unidades de demonstração a pedido da Verizon, por que o pacote fazia parte do firmware do Pixel nos dispositivos, e não apenas naqueles destinados ao estoque da operadora?

Após a auditoria de segurança, a Palantir removeu efetivamente todos os dispositivos Android da sua frota e mudou exclusivamente para iPhones, uma transição que será concluída nos próximos anos. Felizmente, não há evidências de que a vulnerabilidade Showcase.apk esteja sendo explorada por malfeitores.