{"id":1320408,"date":"2024-08-16T08:31:15","date_gmt":"2024-08-16T08:31:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-dispositivos-google-pixel-se-entregan-con-una-aplicacion-vulnerable-lo-que-pone-a-millones-de-personas-en-riesgo\/"},"modified":"2024-08-16T08:31:20","modified_gmt":"2024-08-16T08:31:20","slug":"los-dispositivos-google-pixel-se-entregan-con-una-aplicacion-vulnerable-lo-que-pone-a-millones-de-personas-en-riesgo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-dispositivos-google-pixel-se-entregan-con-una-aplicacion-vulnerable-lo-que-pone-a-millones-de-personas-en-riesgo\/","title":{"rendered":"Los dispositivos Google Pixel se entregan con una aplicaci\u00f3n vulnerable, lo que pone a millones de personas en riesgo"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad m\u00f3vil \/ Seguridad de software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un gran porcentaje de los dispositivos Pixel de Google enviados a nivel mundial desde septiembre de 2017 inclu\u00edan software inactivo que podr\u00eda usarse para organizar ataques nefastos y distribuir varios tipos de malware.<\/p>\n

El problema se manifiesta en forma de una aplicaci\u00f3n de Android preinstalada llamada “Showcase.apk” que viene con privilegios de sistema excesivos, incluida la capacidad de ejecutar c\u00f3digo de forma remota e instalar paquetes arbitrarios en el dispositivo, seg\u00fan la empresa de seguridad m\u00f3vil iVerify.<\/p>\n

“La aplicaci\u00f3n descarga un archivo de configuraci\u00f3n a trav\u00e9s de una conexi\u00f3n no segura y puede manipularse para ejecutar c\u00f3digo a nivel del sistema”. dicho<\/a> en un an\u00e1lisis publicado conjuntamente con Palantir Technologies y Trail of Bits.<\/p>\n

“La aplicaci\u00f3n recupera el archivo de configuraci\u00f3n de un \u00fanico dominio alojado en AWS y con sede en EE. UU. a trav\u00e9s de HTTP no seguro, lo que deja la configuraci\u00f3n vulnerable y puede hacer que el dispositivo sea vulnerable”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La aplicaci\u00f3n en cuesti\u00f3n se llama Modo de demostraci\u00f3n de venta minorista de Verizon<\/a> (“com.customermobile.preload.vzw”), que requiere<\/a> Casi tres docenas de permisos diferentes basados \u200b\u200ben artefactos cargados en VirusTotal a principios de febrero, incluidos la ubicaci\u00f3n y el almacenamiento externo. Publicaciones en Reddit<\/a> y Foros de XDA<\/a> Demuestran que el paquete existe desde agosto de 2016.<\/p>\n

El quid de la cuesti\u00f3n es que la aplicaci\u00f3n descarga un archivo de configuraci\u00f3n a trav\u00e9s de una conexi\u00f3n web HTTP no cifrada, en lugar de HTTPS, lo que abre la puerta a la posibilidad de modificarlo durante el tr\u00e1nsito hacia el tel\u00e9fono de destino. No hay pruebas de que se haya explorado alguna vez en la vida real.<\/p>\n\n\n\n\n
\"Google<\/a><\/td>\n<\/tr>\n
Permisos solicitados por la aplicaci\u00f3n Showcase.apk<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Vale la pena se\u00f1alar que la aplicaci\u00f3n no es un software creado por Google, sino que fue desarrollada por una empresa de software empresarial llamada Smith Micro para poner el dispositivo en modo de demostraci\u00f3n. Actualmente no est\u00e1 claro por qu\u00e9 el software de terceros est\u00e1 integrado directamente en el firmware de Android, pero, en segundo plano, un representante de Google dijo que la aplicaci\u00f3n es propiedad de Verizon y es requerida por esta empresa en todos los dispositivos Android.<\/p>\n

El resultado neto es que deja a los tel\u00e9fonos inteligentes Android Pixel susceptibles a ataques de adversario en el medio (AitM), lo que otorga a los actores maliciosos poderes para inyectar c\u00f3digo malicioso y spyware.<\/p>\n

Adem\u00e1s de ejecutarse en un contexto altamente privilegiado a nivel del sistema, la aplicaci\u00f3n “no puede autenticar o verificar un dominio definido est\u00e1ticamente durante la recuperaci\u00f3n del archivo de configuraci\u00f3n de la aplicaci\u00f3n” y “utiliza una inicializaci\u00f3n de variable predeterminada no segura durante la verificaci\u00f3n del certificado y la firma, lo que da como resultado verificaciones de verificaci\u00f3n v\u00e1lidas despu\u00e9s de una falla”.<\/p>\n

Dicho esto, la criticidad de la deficiencia se mitiga en cierta medida por el hecho de que la aplicaci\u00f3n no est\u00e1 habilitada de forma predeterminada, aunque solo es posible hacerlo cuando un actor de amenazas tiene acceso f\u00edsico a un dispositivo objetivo y el modo de desarrollador est\u00e1 habilitado.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

“Dado que esta aplicaci\u00f3n no es inherentemente maliciosa, la mayor\u00eda de las tecnolog\u00edas de seguridad pueden pasarla por alto y no marcarla como maliciosa, y dado que la aplicaci\u00f3n est\u00e1 instalada a nivel del sistema y es parte de la imagen del firmware, no se puede desinstalar a nivel del usuario”, dijo iVerify.<\/p>\n

En una declaraci\u00f3n compartida con The Hacker News, Google dijo que no se trata de una vulnerabilidad de la plataforma Android ni de Pixel, y que est\u00e1 relacionada con un archivo de paquete desarrollado para dispositivos de demostraci\u00f3n en tiendas de Verizon. Tambi\u00e9n dijo que la aplicaci\u00f3n ya no se usa.<\/p>\n

“Para explotar esta aplicaci\u00f3n en el tel\u00e9fono de un usuario se requiere tanto el acceso f\u00edsico al dispositivo como la contrase\u00f1a del usuario”, dijo un portavoz de Google. “No hemos visto ninguna evidencia de explotaci\u00f3n activa. Por precauci\u00f3n, eliminaremos esta aplicaci\u00f3n de todos los dispositivos Pixel compatibles en el mercado con una pr\u00f3xima actualizaci\u00f3n de software de Pixel. La aplicaci\u00f3n no est\u00e1 presente en los dispositivos de la serie Pixel 9. Tambi\u00e9n estamos notificando a otros fabricantes de equipos originales de Android”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n