Edgar Cervantes / Autoridade Android
Resumo
- A empresa de segurança móvel iVerify descobriu uma vulnerabilidade significativa no
Showcase.apk
pacote em dispositivos Pixel vendidos pela Verizon. - Este pacote potencialmente expõe milhões de usuários do Pixel a ataques do tipo man-in-the-middle, spyware e outras ameaças.
- O pacote está incorporado no firmware dos dispositivos Pixel vendidos pela Verizon, portanto não pode ser desinstalado ou removido pelos usuários.
A empresa de segurança móvel iVerify descobriu recentemente uma vulnerabilidade significativa que pode potencialmente impactar milhões de dispositivos Pixel globalmente. A referida vulnerabilidade foi identificada dentro de um pacote de aplicativo Android em dispositivos Pixel e pode deixá-los suscetíveis a ataques man-in-the-middle, instalações de spyware e muito mais.
Vale a pena notar que este pacote — Showcase.apk
— roda no nível do sistema e pode alterar fundamentalmente a maneira como o sistema operacional do dispositivo funciona. Como o pacote foi instalado em protocolos HTTP não seguros, os criminosos cibernéticos podem potencialmente explorar essa vulnerabilidade e hackear dispositivos.
Infelizmente, como é um aplicativo de nível de sistema, o usuário médio não pode desinstalá-lo ou removê-lo de seu dispositivo. Isso essencialmente deixa vários proprietários de Pixel em risco, mas o iVerify notificou o Google sobre essa vulnerabilidade de segurança e seus riscos associados, então é provável que a gigante da tecnologia de Mountain View emita um patch para resolver esse problema.
O pacote em questão aparece dentro do firmware de dispositivos Pixel de varejo vendidos pela Verizon. Foi descoberto que um número substancial de dispositivos Pixel foram enviados com ele desde setembro de 2017. A iVerify acredita que o pacote provavelmente foi desenvolvido para fornecer aos clientes um modo de demonstração, aumentando assim as vendas de telefones Pixel nas lojas da Verizon. Dito isso, os riscos de segurança não intencionais que ele apresenta são bastante significativos.
Sobre essa questão, Rocky Cole, cofundador e diretor de operações da iVerify, disse: “Embora não tenhamos evidências de que essa vulnerabilidade esteja sendo explorada ativamente, ela tem sérias implicações para ambientes corporativos, com milhões de telefones Android chegando ao local de trabalho todos os dias”.
A descoberta deste pacote apenas ressalta a necessidade de discussões ponderadas sobre se aplicativos de terceiros devem ser incluídos como parte do sistema operacional. Também levanta questões sobre a adequação dos testes de garantia de qualidade, especialmente quando aplicativos de terceiros estão sendo incorporados ao firmware de dispositivos de varejo. O iVerify observa, no entanto, que o pacote de aplicativos estava inativo por padrão na maioria dos dispositivos testados. Para que funcionasse, ele precisaria ser habilitado manualmente.
Em nossos testes, conseguimos localizar o Showcase.apk
pacote no firmware Verizon do Pixel 8 Pro para dispositivos de varejo. Como o iVerify explica, o pacote não é habilitado por padrão. No entanto, o fato de você poder habilitá-lo manualmente o torna um risco potencial, tanto se você mesmo o habilitar acidentalmente quanto se um criminoso cibernético encontrar uma maneira de habilitá-lo e invadir seu dispositivo.