Resumo
- Os dispositivos Pixel do Google contêm uma potencial vulnerabilidade de segurança vinculada a um APK com privilégios de sistema.
- O APK, que usa “Verizon Retail Demo Mode” como nome de usuário, permite que criminosos cibernéticos ataquem dispositivos Pixel baixando arquivos por meio de protocolos HTTP não seguros.
- O Google não priorizou a correção do problema, pois o aplicativo é desabilitado por padrão, provavelmente exigindo acesso físico ao dispositivo para ser habilitado. No entanto, a empresa diz que removerá o aplicativo por meio de uma atualização para Pixels nas próximas semanas.
Uma descoberta recente está colocando à prova as sólidas alegações de segurança do Google sobre o Pixel.
Um APK, que está à espreita em todos os dispositivos Pixel desde 2017, foi associado a ser potencialmente vulnerável devido aos seus “privilégios excessivos do sistema”, que incluem execução de código e instalação de pacotes em nível remoto.
Relacionado
Google lança segunda parcela do patch de exploração de dia zero, mas apenas para telefones Pixel
O problema não afeta apenas os telefones Pixel
A vulnerabilidade foi detectada pela primeira vez pelo iVerify, indicando que o software, denominado Vitrine.apké o cadáver de um aplicativo relíquia usado pela Verizon para seus dispositivos de demonstração em loja. O Android Police e o fundador do APKMirror, Artem Russakovski, fizeram algumas pesquisas e descobriram que o nome amigável do Showcase.apk é Verizon Retail Demo Mode, publicado pelo Verizon Consumer Group.
A ferramenta tem permissões para buscar arquivos de configuração por protocolos HTTP não seguros, que é o motivo de toda essa confusão, deixando os dispositivos Pixel abertos para ataques de cibercriminosos. O aplicativo provavelmente tem essas permissões para manter os dispositivos de demonstração na loja atualizados.
O iVerify sugere que o APK em si é presumivelmente seguro, e não está completamente instalado em dispositivos Pixel, por isso você não conseguirá localizá-lo em seus gerenciadores de aplicativos. É também por isso que “a maioria das tecnologias de segurança pode ignorá-lo e não sinalizá-lo como malicioso”. No entanto, suas permissões em nível de sistema, juntamente com permissões para baixar arquivos por protocolos HTTP não seguros, é o que o torna uma bomba-relógio.
O Google sabe do problema
A empresa Mobile Threat Hunting informou o Google sobre a vulnerabilidade em maio, embora a gigante da tecnologia ainda não tenha agido sobre isso. É provável que o Google não tenha o problema como prioridade porque o aplicativo é desabilitado por padrão. Isso significa essencialmente que um agente de ameaça teria que habilitar fisicamente o aplicativo antes que ele pudesse ser usado para ataques cibernéticos mais amplos, o que em grande parte anula o propósito de um ataque cibernético. Atualmente, não se sabe se os agentes de ameaça podem de alguma forma habilitar o aplicativo remotamente.
“Nós só encontramos uma maneira física de ativar isso, mas pode haver diferentes maneiras de um possível invasor remoto ou alguém que já esteja no telefone com malware ativar isso e usá-lo para escalonamento de privilégios”, disse Matthias Frielingsdorf, vice-presidente de pesquisa da iVerify em uma declaração dada à Wired. “Pelo que sabemos, o acesso físico limita o perigo. Se eu soubesse uma maneira remota clara de fazer isso, não gostaria de fazer divulgação pública porque então os dispositivos de milhões de pessoas estariam em perigo.”
A questão não respondida aqui, no entanto, é que se o aplicativo em questão é para ser usado em dispositivos de demonstração nas lojas da Verizon, por que o Google envia quase todos os dispositivos Pixel com ele? É um problema de controle de qualidade ou apenas descuido?
A preocupação é séria o suficiente para que a Palantir Technologies, uma empresa de plataforma de software que supostamente trabalhou junto com a iVerify para identificar o problema de segurança, tenha decidido abandonar o Android em favor dos iPhones da Apple por causa da descoberta e da resposta lenta do Google.
“Um adversário com muitos recursos, como um estado-nação, poderia explorar isso — tem o potencial de ser uma porta dos fundos para basicamente qualquer Pixel no mundo”, disse Rocky Cole, COO da iVerify e ex-analista da Agência de Segurança Nacional dos EUA, em uma declaração à Wired.
Em uma declaração separada à Wired, um porta-voz do Google confirmou que o aplicativo não está mais em uso e que será removido de todos os dispositivos Pixel por meio de uma atualização de software “nas próximas semanas”.
