Skip to main content

DT en Español podría recibir una comisión si compras un producto desde el sitio

Los expertos en seguridad acaban de encontrar una falla masiva en los teléfonos Google Pixel

Los celulares con las mejores cámaras de 2023.
Joe Maring / Digital Trends

Google está parcheando una grave vulnerabilidad a nivel de firmware que ha estado presente en millones de teléfonos inteligentes Pixel vendidos en todo el mundo desde 2017. «Por precaución, eliminaremos esto de todos los dispositivos Pixel compatibles en el mercado con una próxima actualización de software Pixel», dijo la compañía a The Washington Post.

El problema en cuestión es un paquete de aplicación llamado Showcase.apk, que es un elemento del firmware de Android que tiene acceso a múltiples privilegios del sistema. Por lo general, un usuario promedio de un teléfono inteligente no puede habilitarlo o interactuar directamente con él, pero la investigación de iVerify demostró que un mal actor puede explotarlo para infligir daños graves.

Recommended Videos

«La vulnerabilidad hace que el sistema operativo sea accesible para que los ciberdelincuentes perpetren ataques de intermediario, inyecciones de malware e instalaciones de spyware», según la compañía. La firma de seguridad reveló que la falla abre las puertas para la ejecución remota de código y la instalación remota de paquetes.

Eso significa que un actor malintencionado puede instalar malware en un dispositivo objetivo sin tener acceso físico a él. Posteriormente, los ciberdelincuentes pueden lanzar diversas formas de ataque en función del malware inyectado, que incluye, entre otros, el robo de datos confidenciales o la toma de control del sistema.

El problema principal es que Showcase.apk descarga activos de configuración a través de una conexión HTTP no segura, lo que lo deja vulnerable a actores maliciosos. Lo que lo hace más aterrador es que los usuarios no pueden desinstalarlo directamente como pueden eliminar otras aplicaciones almacenadas en sus teléfonos.

Un problema muy Pixel

La pantalla del Google Pixel 8a.
Andy Boxall / DT

Entonces, ¿cómo influye el Google Pixel en toda la secuencia, y no todos los teléfonos Android del planeta? Bueno, el paquete Showcase.apk viene preinstalado en el firmware de Pixel y también es un componente central de las imágenes OTA que Google publica para instalar actualizaciones de software, especialmente durante el proceso de desarrollo inicial.

iVerify señala que hay varias formas en que un pirata informático puede habilitar el paquete, aunque no esté activo de forma predeterminada. Google podría enfrentarse a una seria presión tras las revelaciones por múltiples razones.

Primero, iVerify dice que notificó a Google sobre su alarmante descubrimiento 90 días antes de hacerlo público, pero Google no proporcionó una actualización sobre cuándo solucionaría la falla, dejando en riesgo a millones de dispositivos Pixel vendidos en todo el mundo. En segundo lugar, uno de los dispositivos marcados como no seguros estaba en uso activo en Palantir Technologies, una empresa de análisis a la que el Departamento de Defensa de EE.UU. concedió recientemente un contrato por valor de 500 millones de dólares para fabricar sistemas de visión artificial para el Ejército de EE.UU.

Ahora, solo en aras de la claridad, no es Showcase.apk en sí mismo lo que es problemático. Es la forma en que descarga archivos de configuración a través de una conexión HTTP no segura que se consideró una invitación abierta para que los piratas informáticos husmearan. Para que te hagas una idea de la amenaza, el navegador Chrome de Google advierte a los usuarios cada vez que visitan un sitio web utilizando el antiguo protocolo HTTP en lugar de la arquitectura HTTPS más segura.

Esto es grave

El Google Pixel 9 Pro XL junto al Google Pixel 8 Pro.
Ajay Kumar / DT

Independientemente del vehículo de amenaza, lo que podría meter a Google en problemas es que los teléfonos inteligentes Pixel en riesgo estuvieran en uso activo por parte de un contratista de defensa, lo que teóricamente podría poner en riesgo la seguridad nacional. No es difícil imaginar por qué.

Basta con echar un vistazo a cómo TikTok ha sido prohibido para los empleados federales en varios estados, citando preocupaciones de seguridad nacional similares. «Es realmente bastante preocupante. Los píxeles están destinados a ser limpios. Hay un montón de cosas de defensa construidas en los teléfonos Pixel», dijo Dane Stuckey, director de seguridad de la información de Palantir, a The Post.

La aplicación fue creada por Smith Micro para que el gigante de las telecomunicaciones Verizon pusiera los teléfonos en modo de demostración para las tiendas minoristas. Además, dado que la aplicación en sí no contiene ningún código malicioso, es casi imposible que las aplicaciones o el software antivirus la marquen como tal. Google, por otro lado, dice que explotar la falla requeriría acceso físico y conocimiento del código de acceso del teléfono.

iVerify, sin embargo, también ha planteado preguntas sobre la presencia generalizada de la aplicación. Cuando se desarrolló para unidades de demostración a pedido de Verizon, ¿por qué el paquete era parte del firmware de Pixel en los dispositivos, no solo en los destinados al inventario del operador?

Tras la auditoría de seguridad, Palantir ha eliminado todos los dispositivos Android de su flota y ha pasado exclusivamente a los iPhones, una transición que se completará en los próximos años. Afortunadamente, no ha habido evidencia de que la vulnerabilidad Showcase.apk esté siendo explotada por malos actores.

Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Estoy muy decepcionado con los teléfonos Google Pixel 9
decepcionado telefonos google pixel 9 series

El periodista de DT en inglés, Andy Boxall , nos cuenta por qué quedó tan extremadamente decepcionado con la presentación de los nuevos celulares de la familia Google Pixel 9.

¿Cuándo una elección es demasiada elección, y cuándo se convierte en ninguna opción en absoluto? Ya sea desplazándose por Netflix o las enormes bibliotecas de YouTube o mirando un armario a reventar en busca de algo que ponerse, pero no encontrar nada, a menudo es más sencillo cuando solo hay un par de opciones claras y bien seleccionadas para seleccionar.

Leer más
El Google Pixel Watch 3 tiene una función de salud nunca antes vista
google pixel watch 3 funcion salud nunca antes vista

Google está subiendo el listón de las capacidades de fitness y bienestar en los smartwatches con el nuevo Pixel Watch 3. Pero una de las capacidades más significativas que aporta es la detección de un evento de pérdida de pulso, que la compañía llama "detección de pérdida de pulso".

Piense en ello como un análogo portátil para la detección de accidentes automovilísticos, pero algo que no se basa en la física del movimiento y los datos recopilados por los sensores instalados dentro de un teléfono. En cambio, el Pixel Watch 3 se basa en la información de biodetección y, más específicamente, en la actividad cardíaca.

Leer más
El Google Pixel Watch 3 no funcionará bien con los teléfonos Android antiguos
google pixel watch 3 telefonos android antiguos

Si planea pedir un Pixel Watch 3 cuando se anuncie el próximo mes, es posible que desee esperar. 9to5Google ha descubierto que los requisitos de Android entre él y el Pixel Watch 2 han cambiado, lo que podría dejar fuera a algunas personas con teléfonos Android más antiguos.

Según las imágenes de marketing filtradas, el Pixel Watch 3 requerirá un teléfono Android con Android 10.0 o superior para funcionar. El modelo actual requiere Android 9.0.

Leer más