Los dispositivos Pixel de Google enviados desde septiembre de 2017 presentan un software inactivo que podría ser aprovechado para llevar a cabo ataques maliciosos y distribuir malware. Este problema radica en una aplicación preinstalada en Android llamada «Showcase.apk«, que posee excesivos privilegios del sistema y la capacidad de ejecutar código de forma remota e instalar paquetes arbitrarios en el dispositivo. Según la firma de seguridad móvil iVerify, esta aplicación descarga un archivo de configuración a través de una conexión no segura, lo que la hace vulnerable a manipulaciones y pone en riesgo la seguridad del dispositivo.
La aplicación en cuestión, llamada «Verizon Retail Demo Mode» («com.customermobile.preload.vzw»), requiere casi treinta permisos diferentes, incluyendo ubicación y almacenamiento externo. El mayor problema radica en que la aplicación descarga el archivo de configuración a través de una conexión web HTTP no encriptada, lo que permite la posibilidad de modificarlo durante su envío al dispositivo objetivo.
Aunque no hay evidencia de que esta vulnerabilidad haya sido explotada en la naturaleza, la presencia de este inconveniente en los dispositivos Pixel de Google los hace vulnerables a ataques de adversario en el medio (AitM), otorgando a actores malintencionados el poder de inyectar código malicioso y software espía.
Google afirmó que la aplicación ya no se está utilizando y que eliminará esto de todos los dispositivos Pixel admitidos en el mercado con una próxima actualización de software. Además, notificará a otros fabricantes de dispositivos Android. Los mantenedores de GrapheneOS también señalaron que la explotación de esta aplicación en un teléfono de usuario requiere tanto acceso físico al dispositivo como la contraseña del usuario, y que no expone ninguna superficie de ataque relevante.
Vía The Hacker News
