Uma “percentagem muito grande de dispositivos Pixel” vendidos em todo o mundo desde setembro de 2017 têm uma falha de segurança grave. Esta vem com a app “Showkase.apk”, que permite potencialmente aos hackers instalar malware, tendo sido detetada pela empresa de cibersegurança iVerify.
A app Showcase.apk foi desenvolvida pela Smith Micro e foi concebida para demonstrar as capacidades dos Pixel e de outros dispositivos Android nas lojas da Verizon. A iVerify sinalizou primeiro o dispositivo nas soluções de software e no fornecedor de análise de big data Palantir Technologies, o que o levou a iniciar uma investigação.
Esta revelou que a app Showcase.apk, que faz parte do firmware, não pode ser removido do telefone por um utilizador. Descarrega um ficheiro de configuração via HTTP, logo não seguro, a partir de um site alojado na Amazon Web Services.
Este ficheiro permite que a aplicação execute comandos ou módulos do sistema que podem abrir uma backdoor, o que facilita o comprometimento do dispositivo. A vulnerabilidade da app deixa milhões de dispositivos Android Pixel suscetíveis a ataques man-in-the-middle, permitindo que os criminosos injetem código malicioso e spyware perigoso.
iVerify Discovers Severe Android Vulnerability Impacting Millions of Devices Around the World. The vulnerability leaves millions of devices susceptible to man-in-the-middle (MITM) attacks and other dangerous malware and spyware.https://t.co/vwHRFIHAZR pic.twitter.com/qyfvIgVtAP
— ierify (@IsMyPhoneHacked) August 15, 2024
A iVerify contactou a Google sobre a vulnerabilidade há 90 dias, mas o problema não foi resolvido. No entanto, esta semana, a Google respondeu, referindo que iria lançar uma atualização para remover a app e avaliar o comportamento de outros equipamentos Android.
Segundo a empresa, esta aplicação pode ser explorada no telefone do utilizador apenas com acesso físico ao dispositivo e à palavra-passe do utilizador. Afirmou ainda que atualmente não há notícias de ataques a explorar esta vulnerabilidade.
A iVerify afirma que a vulnerabilidade pode ter um impacto significativo, resultando em violações e perda de dados que afetam milhões de utilizadores. Como esta aplicação não é inerentemente maliciosa, a maioria da tecnologia de segurança pode ignorá-la e não a sinalizar como vulnreável.