(https://i.postimg.cc/hPn8MsZ3/Google-Pixel.png) (https://postimg.cc/23HBSQD4)
Se ha descubierto una falla de seguridad grave que data de hace 7 años en una aplicación preinstalada en millones de dispositivos Google Pixel. La vulnerabilidad permite la posible ejecución remota de código y la filtración de datos. Si bien Google ha reconocido el problema, la demora en abordar esta grave amenaza ha generado inquietudes sobre la seguridad de los usuarios.
Los investigadores de Iverify han descubierto una vulnerabilidad crítica que ha estado latente en los dispositivos Pixel desde 2017, poniendo en riesgo a millones de usuarios de Google Pixel. La vulnerabilidad reside en una aplicación preinstalada con privilegios de sistema innecesarios, lo que permite a los atacantes inyectar código malicioso y potencialmente tomar el control de los dispositivos.
La aplicación en cuestión es Showcase.apk, diseñada para Verizon por Smith Micro, una empresa de software estadounidense que ofrece acceso remoto, control parental y herramientas de borrado de datos. Se supone que esta aplicación se utiliza para convertir los Pixel en dispositivos de demostración. Sin embargo, incluye una puerta trasera que ofrece a los atacantes una forma de comprometer el dispositivo.
La capacidad EDR de iVerify identificó un dispositivo Android de Palantir Technologies como inseguro, lo que llevó a una investigación que involucró a Palantir y Trail of Bits, que reveló que el paquete de aplicaciones Android Showcase.apk hace que el sistema operativo sea vulnerable a los piratas informáticos, lo que permite ataques de intermediarios, inyección de código y software espía.
A pesar de no ser una creación de Google, Showcase ha mantenido privilegios de sistema muy arraigados, incluida la alarmante capacidad de ejecutar código de forma remota e instalar software sin el consentimiento del usuario.
Esta vulnerabilidad podría resultar en miles de millones de dólares en violaciones de datos. Para empeorar las cosas, la aplicación descarga archivos de configuración a través de una conexión HTTP desprotegida, un descuido de seguridad evidente que podría permitir a los atacantes secuestrar la aplicación y obtener el control total del dispositivo.
Lo que sucede es que el paquete de la aplicación recupera un archivo de configuración a través de HTTP no seguro, lo que le permite ejecutar comandos o módulos del sistema que podrían abrir una puerta trasera, lo que permitiría a los cibercriminales comprometer el dispositivo. Como no es inherentemente malicioso, la tecnología de seguridad puede pasarlo por alto, y la aplicación se instala a nivel de sistema y forma parte de la imagen de firmware, lo que la hace desinstalable a nivel de usuario.
Para su información, Showcase.apk es un código a nivel de sistema que transforma un teléfono en un dispositivo de demostración, alterando el sistema operativo. Se ejecuta en un contexto privilegiado, lo que provoca problemas como no autenticar un dominio, usar una inicialización de variable predeterminada no segura, alterar archivos de configuración, manejar archivos no obligatorios y comunicarse de forma insegura con una URL predefinida a través de HTTP.
Si bien el propósito exacto de la aplicación que se preinstala en los Pixel sigue sin estar claro, crea un riesgo de seguridad significativo para los usuarios. La aplicación no se puede desinstalar a través de los métodos estándar. Aunque Google ha reconocido el problema y ha prometido una solución, la demora en abordar esta vulnerabilidad crítica ha generado inquietud.
"Esta no es una vulnerabilidad de la plataforma Android ni de los Pixel, es un apk desarrollado por Smith Micro para los dispositivos de demostración en la tienda de Verizon y ya no se usa", afirmó un portavoz de Google. "La explotación de esta aplicación en el teléfono de un usuario requiere tanto acceso físico al dispositivo como la contraseña del usuario. No hemos visto evidencia de ninguna explotación activa".
Google mencionó que informaría a otros fabricantes de equipos originales de Android sobre el APK y señaló que la aplicación Showcase, propiedad de Verizon, es obligatoria en todos los dispositivos Android vendidos por Verizon.
"No se sabe por qué Google instala una aplicación de terceros en cada dispositivo Pixel cuando solo una cantidad muy pequeña de dispositivos necesitaría el Showcase.apk", escribieron los investigadores de iVerify en su publicación de blog.
Es importante señalar que Showcase está deshabilitado de forma predeterminada, lo que requiere acceso físico a un dispositivo y el conocimiento de la contraseña del sistema para activarlo. Sin embargo, no se puede descartar la posibilidad de explotación remota, especialmente considerando la sofisticación de los ciberataques modernos.
Al comentar sobre esto, Sergio A. Figueroa, consultor sénior de seguridad en Synopsys Software Integrity Group, dijo: "Cuando compras un nuevo teléfono inteligente, confías en él. Esperas que el hardware y el sistema operativo funcionen como se espera y que no vengan con vulnerabilidades obvias, pero si las hay, esperas recibir actualizaciones oportunas que las mitiguen, al menos durante algunos años".
"Pero, ¿hasta dónde debe llegar esa confianza?", argumentó Sergio. "Diferentes actores pueden querer darle su toque al sistema. El fabricante del equipo original (como Samsung, Nokia o HTC) cambiará la interfaz de usuario y creará algunas aplicaciones propias. El operador de telefonía móvil o el minorista que te vende el teléfono puede agregar solo algunas aplicaciones a la mezcla. Algunos de estos actores pueden llegar a acuerdos con terceros para enviar aplicaciones o servicios específicos", dijo.
"Debido a la forma en que estas personalizaciones están integradas en los teléfonos inteligentes, es difícil para la mayoría de los usuarios deshacerse de las que no les gustan. En otras palabras, se les pide a los usuarios que extiendan su confianza: no solo tienen que confiar en el sistema operativo, sino también en un montón de aplicaciones que pueden necesitar o no y que pueden o no seguir estándares de calidad y seguridad particulares", explicó Sergio. "Aunque se garantice que el sistema operativo recibirá actualizaciones de seguridad durante algunos años, no se garantiza lo mismo para la aplicación meteorológica instalada por el operador de telefonía móvil".
"Estas utilidades preinstaladas se convierten en un lastre: se instalan en muchos dispositivos, son difíciles de eliminar o desactivar y no están sujetas a los mismos estándares de seguridad que el sistema operativo en sí. No debería sorprendernos que sepan que son vulnerables y que la vulnerabilidad afecta a un gran número de usuarios. No tiene mucho sentido prometer siete años de actualizaciones de seguridad a nivel del sistema operativo si se van a incluir en un software que no está sujeto a esa promesa", concluyó.
Fuente:
HackRead
https://hackread.com/7-year-old-pre-installed-google-pixel-app-flaw-risk/