La línea de smartphones Pixel, equipos insignia de Google, promociona la seguridad como una de sus principales características, ofreciendo actualizaciones de software garantizadas durante siete años y ejecutando Android de serie, que se supone que está libre de complementos y bloatware de terceros. El jueves, sin embargo, los investigadores de la firma de seguridad de dispositivos móviles iVerify publican hallazgos sobre una vulnerabilidad de Android que parece haber estado presente en cada versión de Android para Pixel desde septiembre de 2017 y podría exponer los dispositivos a la manipulación y la toma de control.
Showcase.apk
El problema está relacionado con un paquete de software llamado «Showcase.apk» que se ejecuta a nivel del sistema y es invisible para los usuarios. La aplicación fue desarrollada por la compañía de software empresarial Smith Micro para Verizon como un mecanismo para poner los teléfonos en un modo de demostración de tienda minorista; no es software de Google. Sin embargo, durante años ha estado presente en todas las versiones de Android para Pixel y goza de amplios privilegios de sistema, incluida la ejecución remota de código y la instalación remota de software. Aún más riesgoso, la aplicación está diseñada para descargar un archivo de configuración a través de una conexión web HTTP sin cifrar que, según los investigadores de iVerify, podría ser secuestrado por un atacante para tomar el control de la aplicación y luego de todo el dispositivo de la víctima.
iVerify comunicó sus hallazgos a Google a principios de mayo, y la gigante tecnológica aún no ha publicado una solución para el problema. El portavoz de Google, Ed Fernández, declara a WIRED en un comunicado que Showcase «ya no está siendo utilizado» por Verizon, y Android eliminará Showcase de todos los dispositivos Pixel compatibles con una actualización de software «en las próximas semanas». Agregó que Google no ha visto evidencia de explotación activa y que la aplicación no está presente en los nuevos dispositivos de la serie Pixel 9 que Google anunció esta semana. Verizon y Smith Micro no respondieron a las solicitudes de comentarios de WIRED antes de la publicación.
Peor para Android
«He visto un montón de vulnerabilidades de Android, y esta es única en algunos aspectos y bastante preocupante», apunta Rocky Cole, director de operaciones de iVerify y ex analista de la Agencia Nacional de Seguridad de EE UU (NSA). «Cuando Showcase.apk se ejecuta, tiene la capacidad de tomar el control del teléfono. Pero el código es, francamente, de mala calidad. Plantea preguntas sobre por qué el software de terceros que se ejecuta con privilegios tan altos tan profundamente en el sistema operativo no fue probado más profundamente. Me parece que Google ha estado empujando bloatware a los dispositivos Pixel en todo el mundo.»
Los investigadores de iVerify descubrieron la aplicación después de que el escáner de detección de amenazas de la compañía marcara una validación inusual de aplicaciones de Google Play Store en el dispositivo de un usuario. El cliente, la empresa de análisis de grandes volúmenes de datos Palantir, trabajó con iVerify para investigar Showcase.apk y revelar los hallazgos a Google. El jefe de seguridad de la información de Palantir, Dane Stuckey, aclara que el descubrimiento y lo que describe como la respuesta lenta y opaca de Google han llevado a Palantir a eliminar gradualmente no solo los teléfonos Pixel, sino todos los dispositivos Android en toda la empresa.
«Google incrustando software de terceros en el firmware de Android y no revelando esto a los vendedores o usuarios crea una vulnerabilidad de seguridad significativa para cualquiera que confíe en este ecosistema», destaca Stuckey a WIRED. Stuckey añade que sus interacciones con Google a lo largo del plazo estándar de 90 días «erosionaron gravemente nuestra confianza en el ecosistema. Para proteger a nuestros clientes, hemos tenido que tomar la difícil decisión de alejarnos de Android en nuestra empresa.»
Tampoco es fácil
El vicepresidente de investigación de iVerify, Matthias Frielingsdorf, señala que aunque Showcase representa una exposición preocupante para los dispositivos Pixel, está desactivado por defecto. Esto significa que un atacante primero tendría que activar la aplicación en el dispositivo de un objetivo antes de poder explotarla. La forma más directa de hacerlo implicaría tener acceso físico al teléfono de la víctima, así como su contraseña de sistema u otra vulnerabilidad explotable que le permitiera realizar cambios en la configuración. Fernández, de Google, también hizo hincapié en este factor limitante.
«Solo hemos encontrado una forma física de activar esto, pero podría haber diferentes maneras de que un potencial atacante remoto o alguien que ya está en el teléfono con malware podría activar esto y utilizarlo para la escalada de privilegios», explica Frielingsdorf. «Para nuestro conocimiento, el acceso físico limita el peligro. Frielingsdorf añade que iVerify está limitando los detalles técnicos que publica sobre el problema hasta que Google publique su solución.
Los investigadores de iVerify indican que, además de los teléfonos Pixel, es posible que Showcase también esté incrustado en otros dispositivos Android. Fernández, de Google, menciona a WIRED en el comunicado que “también estamos notificando a otros fabricantes de equipos originales que fabrican Android”.
«Hubiéramos preferido con mucho que Google parcheara esto antes de hablar de ello públicamente, pero su incapacidad para dar una fecha de parche específica no nos dejó otra opción», sostiene Cole de iVerify. «Un adversario con buenos recursos como un Estado nación podría explotar esto; tiene el potencial de ser una puerta trasera en básicamente cualquier Pixel en el mundo.»
Artículo publicado originalmente en WIRED. Adaptado por Mauricio Serfatty Godoy.
