Un gran porcentaje de los dispositivos Pixel de Google enviados a nivel mundial desde septiembre de 2017 incluían software inactivo que podría usarse para organizar ataques nefastos y distribuir varios tipos de malware.
El problema se manifiesta en forma de una aplicación de Android preinstalada llamada «Showcase.apk» que viene con privilegios de sistema excesivos, incluida la capacidad de ejecutar código de forma remota e instalar paquetes arbitrarios en el dispositivo, según la empresa de seguridad móvil iVerify.
«La aplicación descarga un archivo de configuración a través de una conexión no segura y puede manipularse para ejecutar código a nivel del sistema». dicho en un análisis publicado conjuntamente con Palantir Technologies y Trail of Bits.
«La aplicación recupera el archivo de configuración de un único dominio alojado en AWS y con sede en EE. UU. a través de HTTP no seguro, lo que deja la configuración vulnerable y puede hacer que el dispositivo sea vulnerable».
La aplicación en cuestión se llama Modo de demostración de venta minorista de Verizon («com.customermobile.preload.vzw»), que requiere Casi tres docenas de permisos diferentes basados en artefactos cargados en VirusTotal a principios de febrero, incluidos la ubicación y el almacenamiento externo. Publicaciones en Reddit y Foros de XDA Demuestran que el paquete existe desde agosto de 2016.
El quid de la cuestión es que la aplicación descarga un archivo de configuración a través de una conexión web HTTP no cifrada, en lugar de HTTPS, lo que abre la puerta a la posibilidad de modificarlo durante el tránsito hacia el teléfono de destino. No hay pruebas de que se haya explorado alguna vez en la vida real.
 |
| Permisos solicitados por la aplicación Showcase.apk |
Vale la pena señalar que la aplicación no es un software creado por Google, sino que fue desarrollada por una empresa de software empresarial llamada Smith Micro para poner el dispositivo en modo de demostración. Actualmente no está claro por qué el software de terceros está integrado directamente en el firmware de Android, pero, en segundo plano, un representante de Google dijo que la aplicación es propiedad de Verizon y es requerida por esta empresa en todos los dispositivos Android.
El resultado neto es que deja a los teléfonos inteligentes Android Pixel susceptibles a ataques de adversario en el medio (AitM), lo que otorga a los actores maliciosos poderes para inyectar código malicioso y spyware.
Además de ejecutarse en un contexto altamente privilegiado a nivel del sistema, la aplicación «no puede autenticar o verificar un dominio definido estáticamente durante la recuperación del archivo de configuración de la aplicación» y «utiliza una inicialización de variable predeterminada no segura durante la verificación del certificado y la firma, lo que da como resultado verificaciones de verificación válidas después de una falla».
Dicho esto, la criticidad de la deficiencia se mitiga en cierta medida por el hecho de que la aplicación no está habilitada de forma predeterminada, aunque solo es posible hacerlo cuando un actor de amenazas tiene acceso físico a un dispositivo objetivo y el modo de desarrollador está habilitado.
«Dado que esta aplicación no es inherentemente maliciosa, la mayoría de las tecnologías de seguridad pueden pasarla por alto y no marcarla como maliciosa, y dado que la aplicación está instalada a nivel del sistema y es parte de la imagen del firmware, no se puede desinstalar a nivel del usuario», dijo iVerify.
En una declaración compartida con The Hacker News, Google dijo que no se trata de una vulnerabilidad de la plataforma Android ni de Pixel, y que está relacionada con un archivo de paquete desarrollado para dispositivos de demostración en tiendas de Verizon. También dijo que la aplicación ya no se usa.
«Para explotar esta aplicación en el teléfono de un usuario se requiere tanto el acceso físico al dispositivo como la contraseña del usuario», dijo un portavoz de Google. «No hemos visto ninguna evidencia de explotación activa. Por precaución, eliminaremos esta aplicación de todos los dispositivos Pixel compatibles en el mercado con una próxima actualización de software de Pixel. La aplicación no está presente en los dispositivos de la serie Pixel 9. También estamos notificando a otros fabricantes de equipos originales de Android».