Los teléfonos inteligentes Pixel se entregan mediante mantenimiento remoto discreto pero inactivo

Millones de teléfonos Pixel fueron enviados con software de acceso remoto que los hacía vulnerables al software espía, pero sólo si el perpetrador tenía acceso físico al dispositivo, ingresaba la contraseña del usuario y sabía cómo activar el software normalmente invisible e inactivo, según Google. . En estas circunstancias, un atacante también puede instalar cualquier otro software. Según se informa, el software de mantenimiento remoto se ha instalado a petición de Verizon desde el lanzamiento de los teléfonos Pixel en 2017. La compañía de telefonía móvil estadounidense ha utilizado el software para mostrar los teléfonos móviles Pixel en sus puntos de venta.

anuncio

Aún no está claro si los teléfonos Android distintos del Pixel también se ven afectados. Explotación activa desconocida. La vulnerabilidad fue detectada por el escáner Endpoint Detección y Respuesta (EDR). Por Iverificar En el celular del cliente. iVerify, en colaboración con el cliente afectado Palantir y la empresa de seguridad Trail of Bits, pudo rastrear esto hasta un paquete de software oculto de Android. Incluso si el software ya no se utiliza, todavía está presente en las fotos de su teléfono inteligente Pixel. Como señaló Dan Guido, director ejecutivo de Trail of Bits, en X.

De hecho, todavía es posible descargar imágenes de firmware para dispositivos Pixel desde los servidores oficiales de Google, que contienen un directorio de aplicaciones privadas con Showcase.pkg mencionado en Product.img, donde se usa heise online. Imágenes de Android 14.0 para el Pixel 8a se puede verificar.

Según iVerify, una vez activada, la aplicación descarga un archivo de configuración a través de una conexión no segura, lo que puede conducir a la ejecución de código a nivel del sistema. El archivo de configuración se recupera de un dominio alojado en AWS a través de HTTP inseguro, lo que hace que la configuración y el dispositivo sean vulnerables a códigos maliciosos, software espía y eliminación de datos.

El parche aún no está ahí

El paquete afectado estaba previamente instalado en el firmware de los dispositivos Pixel. De forma predeterminada, la aplicación está inactiva; Pero como forma parte de la imagen del firmware, millones de teléfonos pueden ejecutar esta aplicación a nivel del sistema. Los usuarios no pueden desinstalar Showcase.apk por sí mismos. Actualmente se está trabajando en una actualización que elimina el software inactivo, según Verizon, y estará disponible “para todos los OEM afectados”. Esto hace sospechar que los teléfonos móviles que no son Pixel también estén equipados con la aplicación insegura.

Según informes de los medios, Showcase.apk proviene de Smith Micro, una empresa que ofrece acceso remoto, controles parentales y software de borrado de datos. “Esta no es una plataforma Android ni una vulnerabilidad de Pixel”. Google le dijo a Forbes. La aplicación se desarrolló como una demostración para las tiendas de telefonía móvil de Verizon en EE. UU., pero ya no se utiliza. Para activar la aplicación se requiere acceso físico al dispositivo y contraseña de usuario.

Un portavoz de la empresa le dijo a Forbes que Verizon ni los consumidores ya utilizan esta función. Ni iVerify ni Verizon encontraron ninguna evidencia de que se haya aprovechado la vulnerabilidad. Como precaución, la funcionalidad beta se eliminará de todos los dispositivos.

El descubrimiento de Showcase.apk e incidentes similares resaltan la necesidad de una mayor transparencia y discusión en torno a las aplicaciones de terceros que forman parte del sistema operativo. Por cierto, el problema no es nuevo, y tampoco se limita a los teléfonos inteligentes Pixel: se remonta a 2016. Una persona se quejó a VerizonQue había una “Aplicación de modo Beta de Verizon Store” en su Samsung Galaxy Note 5.

(Impermeable)