A linha principal de smartphones Pixel da Google destaca a segurança como uma característica central, oferecendo atualizações de software garantidas por sete anos e executando o Android puro, que é feito para ser livre de complementos de terceiros e bloatware. No entanto, na quinta-feira, pesquisadores da empresa de segurança de dispositivos móveis iVerify estão publicando descobertas sobre uma vulnerabilidade no Android que parece estar presente em todas as versões do Android para o Pixel desde setembro de 2017 e poderia expor os dispositivos à manipulação e tomada de controle.
O problema está relacionado a um pacote de software chamado “Showcase.apk” que roda no nível do sistema e fica invisível para os usuários. O aplicativo foi desenvolvido pela empresa de software corporativo Smith Micro para a Verizon como um mecanismo para colocar telefones em modo de demonstração de loja – não é um software da Google. No entanto, por anos, ele esteve em cada versão do Android para o Pixel e possui privilégios profundos no sistema, incluindo execução de código remoto e instalação de software remoto. Ainda mais arriscado, o aplicativo foi projetado para baixar um arquivo de configuração por meio de uma conexão web HTTP não criptografada que pesquisadores da iVerify dizem poder ser sequestrado por um atacante para assumir o controle do aplicativo e, em seguida, de todo o dispositivo da vítima.
A iVerify divulgou suas descobertas para a Google no início de maio e a gigante da tecnologia ainda não lançou um reparo para o problema. O porta-voz da Google, Ed Fernandez, disse à WIRED em um comunicado que o Showcase “não está mais sendo usado” pela Verizon, e o Android removerá o Showcase de todos os dispositivos Pixel suportados com uma atualização de software “nas próximas semanas”. Ele acrescentou que a Google não viu evidências de exploração ativa e que o aplicativo não está presente nos novos dispositivos da série Pixel 9 que a Google anunciou nesta semana.
Respondendo à pergunta da WIRED sobre a vulnerabilidade do Showcase, o porta-voz da Verizon, George Koroneos, disse: “O APK em questão era usado para demonstrações de varejo e não está mais em uso”. A Smith Micro disse em um comunicado que “O APK em questão foi anteriormente licenciado para a Verizon para demonstrações de varejo em lojas e não está mais em uso”.
“Já vi muitas vulnerabilidades do Android e esta é única em alguns aspectos e bastante preocupante”, diz Rocky Cole, diretor de operações da iVerify e ex-analista da Agência de Segurança Nacional dos EUA. “Quando o Showcase.apk é executado, ele tem a capacidade de assumir o controle do telefone. Mas o código é, francamente, falho. Isso levanta questões sobre por que software de terceiros que roda com privilégios tão altos e tão profundos no sistema operacional não foi testado mais profundamente. Parece-me que a Google tem disponibilizado bloatware para dispositivos Pixel em todo o mundo.”
Os pesquisadores da iVerify descobriram o aplicativo depois que o scanner de detecção de ameaças da empresa detectou uma validação incomum de aplicativo na Google Play Store em um dispositivo de um usuário. O cliente, a empresa de análise de big data Palantir, trabalhou com a iVerify para investigar o Showcase.apk e divulgar as descobertas para a Google. O diretor de segurança da informação da Palantir, Dane Stuckey, diz que a descoberta e o que ele descreve como uma resposta lenta e opaca da Google levaram a Palantir a descontinuar não apenas os telefones Pixel, mas todos os dispositivos Android em toda a empresa.
