Desde setembro de 2017, um número significativo de dispositivos Google Pixel enviados para o mundo foram encontrados contendo software inativo capaz defacilitar ataques maliciosos e entregar várias formas demalware.
Esta vulnerabilidade surge de umaplicativo Android pré-instalado chamado “Showcase.apk“, que possui privilégios de sistema elevados, como a capacidade deexecutar código remotamente e instalar pacotes arbitrários, conforme relatado pela empresa de segurança móvel iVerify.
A análise conjunta com a Palantir Technologies e a Trail of Bits explica que “o aplicativo busca um arquivo de configuração por meio de uma conexão não criptografada, tornando-o suscetível à manipulação para execução de código em nível de sistema”.
O arquivo de configuração é recuperado de um domínio hospedado pela AWS nos EUA usando HTTP não seguro, deixando o arquivo e o dispositivo expostos a um possível comprometimento.
O aplicativo em questão, conhecido como Verizon Retail Demo Mode (“com.customermobile.preload.vzw”), requer quase 36 permissões diferentes, incluindo acesso à localização e armazenamento externo, com base em amostras enviadas para VirusTotal em fevereiro. Discussões no Reddit e Fóruns XDA indicam que o aplicativo está em circulação desde agosto de 2016.
O problema principal decorre do aplicativo baixar um arquivo de configuração por meio de uma conexão HTTP não criptografada em vez de HTTPS, expondo-o a possíveis adulterações durante a transmissão. No entanto, nenhuma evidência surgiu de que essa vulnerabilidade tenha sido explorada na natureza.
É importante esclarecer que o aplicativo em questão não é desenvolvido pelo Google. Em vez disso, foi criado por uma empresa de software empresarial chamada Smith Micro para habilitar o modo de demonstração em dispositivos. O motivo pelo qual o software de terceiros é incorporado diretamente no firmware Android permanece obscuro, embora um representante do Google, falando em segundo plano, tenha indicado que o aplicativo é exigido pela Verizon em todos os dispositivos Android.
Como resultado, os smartphones Android Pixel são expostos a ataques adversary-in-the-middle (AitM), potencialmente permitindo que invasores injetem código malicioso ou spyware.
Apesar de operar com privilégios de sistema elevados, o aplicativo “falha ao autenticar ou verificar um domínio definido estaticamente ao recuperar seu arquivo de configuração” e “depende de inicialização de variável padrão insegura durante a verificação de certificado e assinatura, levando à verificação bem-sucedida mesmo após a falha”.
No entanto, a gravidade desse problema é um pouco atenuada pelo fato de que o aplicativo não é habilitado por padrão. A ativação exigiria acesso físico ao dispositivo alvo e o modo de desenvolvedor a ser ativado por um ator de ameaça.
“Como este aplicativo não é inerentemente malicioso, muitas ferramentas de segurança podem ignorá-lo, falhando em sinalizá-lo como uma ameaça. Além disso, como ele é instalado no nível do sistema como parte do firmware, os usuários não podem desinstalá-lo”, explicou o iVerify.
Em uma declaração ao The Hacker News, o Google enfatizou que este problema não é uma vulnerabilidade da plataforma Android ou Pixel, mas sim relacionado a um pacote criado para dispositivos de demonstração na loja da Verizon. O Google também observou que o aplicativo não está mais em uso.
“Explorar este aplicativo no telefone de um usuário exigiria acesso físico e a senha do usuário”, disse um porta-voz do Google. “Não vimos nenhuma evidência de exploração ativa. Como precaução, removeremos o aplicativo de todos os dispositivos Pixel suportados em uma próxima atualização de software. Ele não está presente nos dispositivos da série Pixel 9 e estamos notificando outros OEMs Android.”
Fonte: TheHackerNews
