Google está parcheando una grave vulnerabilidad a nivel de firmware que ha estado presente en millones de teléfonos inteligentes Pixel vendidos en todo el mundo desde 2017. «Por precaución, eliminaremos esto de todos los dispositivos Pixel compatibles en el mercado con una próxima actualización de software Pixel», dijo la compañía a The Washington Post.
El problema en cuestión es un paquete de aplicación llamado Showcase.apk, que es un elemento del firmware de Android que tiene acceso a múltiples privilegios del sistema. Por lo general, un usuario promedio de un teléfono inteligente no puede habilitarlo o interactuar directamente con él, pero la investigación de iVerify demostró que un mal actor puede explotarlo para infligir daños graves.
«La vulnerabilidad hace que el sistema operativo sea accesible para que los ciberdelincuentes perpetren ataques de intermediario, inyecciones de malware e instalaciones de spyware», según la compañía. La firma de seguridad reveló que la falla abre las puertas para la ejecución remota de código y la instalación remota de paquetes.
Eso significa que un actor malintencionado puede instalar malware en un dispositivo objetivo sin tener acceso físico a él. Posteriormente, los ciberdelincuentes pueden lanzar diversas formas de ataque en función del malware inyectado, que incluye, entre otros, el robo de datos confidenciales o la toma de control del sistema.
El problema principal es que Showcase.apk descarga activos de configuración a través de una conexión HTTP no segura, lo que lo deja vulnerable a actores maliciosos. Lo que lo hace más aterrador es que los usuarios no pueden desinstalarlo directamente como pueden eliminar otras aplicaciones almacenadas en sus teléfonos.
Un problema muy Pixel
Entonces, ¿cómo influye el Google Pixel en toda la secuencia, y no todos los teléfonos Android del planeta? Bueno, el paquete Showcase.apk viene preinstalado en el firmware de Pixel y también es un componente central de las imágenes OTA que Google publica para instalar actualizaciones de software, especialmente durante el proceso de desarrollo inicial.
iVerify señala que hay varias formas en que un pirata informático puede habilitar el paquete, aunque no esté activo de forma predeterminada. Google podría enfrentarse a una seria presión tras las revelaciones por múltiples razones.
Primero, iVerify dice que notificó a Google sobre su alarmante descubrimiento 90 días antes de hacerlo público, pero Google no proporcionó una actualización sobre cuándo solucionaría la falla, dejando en riesgo a millones de dispositivos Pixel vendidos en todo el mundo. En segundo lugar, uno de los dispositivos marcados como no seguros estaba en uso activo en Palantir Technologies, una empresa de análisis a la que el Departamento de Defensa de EE.UU. concedió recientemente un contrato por valor de 500 millones de dólares para fabricar sistemas de visión artificial para el Ejército de EE.UU.
Ahora, solo en aras de la claridad, no es Showcase.apk en sí mismo lo que es problemático. Es la forma en que descarga archivos de configuración a través de una conexión HTTP no segura que se consideró una invitación abierta para que los piratas informáticos husmearan. Para que te hagas una idea de la amenaza, el navegador Chrome de Google advierte a los usuarios cada vez que visitan un sitio web utilizando el antiguo protocolo HTTP en lugar de la arquitectura HTTPS más segura.
Esto es grave
Independientemente del vehículo de amenaza, lo que podría meter a Google en problemas es que los teléfonos inteligentes Pixel en riesgo estuvieran en uso activo por parte de un contratista de defensa, lo que teóricamente podría poner en riesgo la seguridad nacional. No es difícil imaginar por qué.
Basta con echar un vistazo a cómo TikTok ha sido prohibido para los empleados federales en varios estados, citando preocupaciones de seguridad nacional similares. «Es realmente bastante preocupante. Los píxeles están destinados a ser limpios. Hay un montón de cosas de defensa construidas en los teléfonos Pixel», dijo Dane Stuckey, director de seguridad de la información de Palantir, a The Post.
La aplicación fue creada por Smith Micro para que el gigante de las telecomunicaciones Verizon pusiera los teléfonos en modo de demostración para las tiendas minoristas. Además, dado que la aplicación en sí no contiene ningún código malicioso, es casi imposible que las aplicaciones o el software antivirus la marquen como tal. Google, por otro lado, dice que explotar la falla requeriría acceso físico y conocimiento del código de acceso del teléfono.
iVerify, sin embargo, también ha planteado preguntas sobre la presencia generalizada de la aplicación. Cuando se desarrolló para unidades de demostración a pedido de Verizon, ¿por qué el paquete era parte del firmware de Pixel en los dispositivos, no solo en los destinados al inventario del operador?
Tras la auditoría de seguridad, Palantir ha eliminado todos los dispositivos Android de su flota y ha pasado exclusivamente a los iPhones, una transición que se completará en los próximos años. Afortunadamente, no ha habido evidencia de que la vulnerabilidad Showcase.apk esté siendo explotada por malos actores.
